Pull to refresh

Comments 21

Ещё здесь наверное хорошо было бы рассказать про safe_helper
А вообще как вам кажется что происходит с Rails 3,
становится модульным/легче или всё для всего и сразу?
UFO just landed and posted this here
UFO just landed and posted this here
А раньше так и фильтровались — надо нам отфильтровать, скажем, some_text, пишем: <%=h some_text %>. Просто теперь это делается автоматически по умолчанию всегда (т.е. h писать не надо) + учитываются любые возникающие в рантайме конкатенации
Ну не совсем так.

Многие Railsmen просто использовали плагины, которые безопасно эскейпили весь вывод.

Просто подключали плагин и всё.
Конечно, но от этого значительно страдала скорость работы. Да и я описал самый простой пример.
Однако давненько ж он не обновлялся…
Ась? Последний коммит — 8 октября прошлого года.

К тому же, он достаточно просто, чтобы «просто работать».
вот я поставил rails_xss(бэкпорт)
Какого, извиняюсь, оно не фильтрует «link_to forum.title, ...»? Что вообще за подход — фильтровать шаблон? Почему бы не внедрить данный функционал в модель, где ему самое место? И вызывать не <%= raw forum.title %>, <%= forum.title.raw %>? Было бы более красиво и правильно.
P.S — использую рельсы давно, но это полный п.
кстати, а от xss с data: в пользовательских ссылках это решение скорей всего не поможет.
UFO just landed and posted this here
я хочу чтобы ВСЕ данные передаваемые из БД, если не указано иначе, были отфильтрованы. А то получается:
1) <%= forum.title %> — xss фильтруется;
2) <%= link_to forum.title, topics_path(forum) %> — нет;
3) <%= link_to h(forum.title), topics_path(forum) %> — фильтруется.
UFO just landed and posted this here
UFO just landed and posted this here
Напишите в рассылку rails с вашими соображениями по этому поводу. «Ругаться на лавке у подъезда» может каждый.
Сомневаюсь что они станут переделывать. Хотя попробую сделать свою реализацию, если будет время.
UFO just landed and posted this here
Sign up to leave a comment.

Articles