Desinfecta tu html (sanitizer)

Posted by mauro on Jun 12, 2009 in Rails |
Subscribe

simple_sanitizer_html es un plugin muy sencillo que arme para Rails, que te permite básicamente escapar el html.
Lo interesante de este plugin es que solo debemos extender el modelo y de forma automática guarda todo los registros escapando el html en la base de datos.

Instalar simple_sanitizer_html

  http://github.com/chebyte/simple_sanitizer_html/tree/master

Uso Práctico

# ruby script/generate model Post title:string copy:text
class Post
 simple_sanitizer_html
end
$ ruby script/console 
Loading development environment (Rails 2.3.2)
p >> p = Post.new
=> #<Post id: nil, title: nil, copy: nil, created_at: nil, updated_at: nil>
>> p.title = "<script>alert('hi tuquito')</script>"
=> "<script>alert('hi tuquito')</script>"
>> p.save
=> true
>> p.title
=> "&lt;script&gt;alert(&#39;hi tuquito&#39;)&lt;/script&gt;"
>>

Este plugin puede ser muy útil para prevenir ataques XSS o del estilo

2 Comments

Desinfecta tu html (sanitizer)
Jun 13, 2009 at 4:17 am

[...] es un plugin muy sencillo que arme para Rails, que te permite básicamente escapar el html. Lo interesante de este plugin es que solo debemos extender el modelo y de forma automática guarda [...]


 
Marcos
Aug 4, 2009 at 6:53 am

también podes usar esta gema: http://wonko.com/post/sanitize
salutes


 

Reply

Copyright © 2010 Chebyte’s Blog All rights reserved.