Sanitize

ruby - 从另一个私有(private)方法中使用 self.xxx() 调用私有(private)方法 xxx，导致错误 "private method ` xxx' called”

我正在尝试获得良好的Ruby编码风格。为防止意外调用具有相同名称的局部变量，我总是在适当的地方使用self.。但是现在我偶然发现了这个:classMyClass上面的代码导致错误privatemethodsanitize_namecalled但是当删除self.并仅使用sanitize_name时，它会起作用。这是为什么？最佳答案发生这种情况是因为无法使用显式接收器调用私有(private)方法，并且说self.sanitize_name是显式指定应该接收sanitize_name的对象(self)，而不是依赖于隐式接收器(也是

private 私有 code sanitize sanitize_name ruby

ruby-on-rails - 对于 Ruby 应用程序，是否有比 Sanitize 更好的替代方案？

我爱Sanitize.这是一个了不起的实用程序。我遇到的唯一问题是，它需要永远准备一个开发环境，因为它使用Nokogiri，这对编译时间来说是一种痛苦。是否有任何程序可以在不使用Nokogiri的情况下执行Sanitize的操作(如果没有别的，只是温和地执行它的操作)？这将以指数方式提供帮助! 最佳答案 Rails有自己的SanitizeHelper。根据http://api.rubyonrails.org/classes/ActionView/Helpers/SanitizeHelper.html,它将Thissanitizehe

ruby-on-rails Sanitize section code 自定 ruby

ruby-on-rails - rails 4 : html_safe for only specific tags

我想允许几个特定的标签，比如()但让rails继续避开其他标签。Html_safe似乎不接受任何参数。执行此操作最顺利的方法是什么？最佳答案 Thesanitizehelperwillhtmlencodealltagsandstripallattributesthataren’tspecificallyallowed.sanitize@article.body,:tags=>%w(br)链接到APIDocs. 关于ruby-on-rails-rails4:html_safeforo

rails ruby-on-rails section sanitize code ruby ruby-on-rails-4

ruby-on-rails - Rails 5 SQL 注入(inject)

我已经在各种SO线程、指南等上阅读了一段时间...但所有答案都是相互矛盾和矛盾的。好像有很多类似的方法，而且很多答案都说使用不同的方法。清理sanitize_conditionssanitize_sqlsanitize_sql_arraysanitize_sql_for_assignmentsanitize_sql_for_conditionssanitize_sql_hashsanitize_sql_hash_for_assignmentsanitize_sql_hash_for_conditionssanitize_sql_like我正在尝试编写一个“原始查询”适配器，让我可以运行

ruby-on-rails inject code connection sanitize ruby postgresql activerecord ruby-on-rails-5

javascript - 绕过 HTML 导入的安全性

我正在导入HTMLsnippet来自第三方并将其嵌入到我的Angular7应用程序之外的某个占位符中。片段中有一个以javascript:开头的链接，Angular将以unsafe:为前缀，这会破坏其功能。DOMSanitizerAngular似乎只提供了一种绕过HTML字符串安全性的方法。但是，在下面的方法中，我只是读取DOM节点并将其附加到不同的目的地。所以我需要一个DOM节点的解决方案。根据我的研究，在appendChild调用之后插入的节点是正确的，但是在Angular添加unsafe:几毫秒之后。如何绕过DOM节点的安全性？privateinsertPart(componen

绕过 javascript section code componentTemplate angular security sanitization sanitize

javascript - $sanitize 自定义白名单

$sanitize服务tellsmethatAllsafetokens(fromawhitelist)arethenserializedbacktoproperlyescapedhtmlstring.我只想显示更小的HTML子集(即em、p、a和strong)。有没有一种方法可以在不修改核心JavaScript的情况下轻松修改$service白名单？最佳答案您可以使用$delegate(如jdforsythe所述)和一些其他库。我个人使用sanitizeHtml在我的项目中，因为它允许我选择允许哪些标签。设置:angular.m

自定 javascript code section 39 angularjs angularjs-directive sanitization

javascript - 在 Rails 中清理 CSS

我想让我正在构建的网络应用程序的用户编写他们自己的CSS以自定义他们的个人资料页面。但是我知道这会带来许多安全风险，即background:url('javascript:alert("Gotyourcookies!"+document.cookies').因此，我正在寻找一种解决方案来清理CSS，同时仍然为我的用户提供尽可能多的CSS功能。所以我的问题是，是否有人知道可以处理此问题的gem或插件？我已经用谷歌搜索了我的大脑，所以任何提示都将不胜感激! 最佳答案 Rails有一个内置的csssanitizer参见http://api

javascript Rails section sanitize SanitizeHelper ruby-on-rails css security

php - 通过 PHP 清理 PostgreSQL 中所有用户的输入

本题基于thisthread.使用pg_prepare时是否需要显式清理？我觉得pg_prepare会自动清理用户的输入，所以我们不需要这个$question_id=filter_input(INPUT_GET,'questions',FILTER_SANITIZE_NUMBER_INT);我使用Postgres的环境$result=pg_prepare($dbconn,"query9","SELECTtitle,answerFROManswersWHEREquestions_question_id=$1;");$result=pg_execute($dbconn,"query9",a

PostgreSQL php code section 34 sanitize

php - FILTER_SANITIZE_STRING 正在剥离 < 字符及其后的任何文本

我在使用FILTER_SANITIZE_STRING时遇到了一个奇怪的问题在一个变量上(由人工输入填充)。它似乎剥离了字符和之后的任何文本。>字符保持不变。我假设它认为是一个需要被剥离的HTML标签，但是它后面没有结束标签，所以我不知道为什么它会那样做。有没有办法让它离开到位，并仍然按照应有的方式进行sanitizer？最佳答案根本问题是，当您使用FILTER_SANITIZE_STRING去除HTML标签时，您将输入作为HTML处理。根据您的描述，您输入的是纯文本。因此，过滤器只能破坏输入数据，正如用户已经报告的那样。虽然这似

FILTER_SANITIZE_STRING SANITIZE code section HTML php

php - 我的反 XSS 方法是否可以在 PHP 中允许用户使用 HTML？

我正在努力寻找一种让用户提交数据的好方法，在这种情况下允许HTML并尽可能安全和快速。我知道这个网站上的每个人似乎都在想http://htmlpurifier.org是这里的答案。我部分同意。htmlpurifier拥有用于过滤用户提交的HTML的最佳开源代码，但该解决方案非常庞大，不利于高流量站点的性能。我什至有一天可能会使用那里的解决方案，但现在我的目标是找到一种更轻量级的方法。我已经使用下面的2个函数大约2年半了，目前还没有遇到任何问题，但我认为是时候听取专业人士的意见了，如果他们能帮助我的话。第一个函数称为FilterHTML($string)，它在用户数据保存到mysql数据

中允 HTML amp string 39 php xss sanitize purify

12 3 4