Rails 5 erb无法转义html
问题描述 投票:0回答:1
在Rails 5.2.3 erb模板中:
<% input = "<script>alert('XSS')</script>" %>
<p><%= input %></p>
显示的是<script>alert('XSS')</script>,而不是&gt。等
不是应该用来防止反射的XSS攻击吗?如果从params [:input]
中检索输入,则会出现同样的问题原始在html中输出:
1个回答
0
投票
投票
需要查看源ctrl + u如Gabor建议
最新问题
- 微服务之间的相互调用关系如何设计才能简洁高效?
- OData V4 更新模型的简单方法?
- 如何将 NULL 替换为雪花中的特定字符串(SQL)
- 您能否将 Snowflake 安全集成与 Tableau 配置为仅允许特定角色?
- 用JS中的if语句检查按钮是否按下
- 断言错误[ERR_ASSERTION]:表达式计算为假值:(0, _assert().default)(node.type === OPTION)
- 使用 PHP 通过 API 连接到 Azure 发音评估
- 按 R 中不同长度的组将日期时间列值舍入为小时
- 如何安排每月两次的任务
- sqflite中数据插入异常
- 如何验证 Entry 小部件中的文本变量是否为整数
- NixOS 上的 MIPS binutils?
- CI/CD 管道流程改进
- 在 React Native 中自定义步骤指示器
- 从knowledge.schema.app_schema导入APIResponse ModuleNotFoundError:没有名为“knowledge”的模块
- 如何使用cmd将文件复制到另一个文件夹?
- 使用 Python.Runtime 从 C# 控制台应用程序中的 Python 回调函数检索字符串数据
- Module.css 加载成功但未定义
- 为什么我在恢复数据库时收到错误代码失败,退出代码为 1
- 亚马逊 Linux 映像上的 HTTPD 返回 403
© www.soinside.com 2019 - 2024. All rights reserved.