我已将数据存储在我的数据库中作为html内容。
每当用户提供输入时,它将注入我的html。
在存储到db之前我应该怎么做我需要清理我的数据。或者我可以存储任何数据。虽然只在视图中显示我需要做一些注射。
我建议你参考XSS Cross Site Scripting cheatsheet
特别是对于Rails,如上所述:
SanitizeHelper模块提供了一组用于清除不需要的HTML元素的文本的方法。
<%= sanitize @comment.body, tags: %w(strong em a), attributes: %w(href) %>