NZKoz's rails_xss at master - GitHub
rails2.3.5から使用できるようになったRailsXSSを試してみた。
rails3.0でも保証されるらしい。
機能としては、自動でエスケープ処理を勝手にやってくれる。
h付けても付けなくても一緒。
↓いらなくなっちゃうね。
SafeERBを使ってみる - うんたらかんたらRuby - Rubyist
以下、基本READMEに書いてあることです。
インストール
Install rails 2.3.5 or higher, or freeze rails from 2-3-stable.
Install erubis (gem install erubis)
Install this plugin (ruby script/plugin install git://github.com/NZKoz/rails_xss.git)
Report anything that breaks.
sudo gem install erubis
ruby script/plugin install git://github.com/NZKoz/rails_xss.git
エスケープ回避
rawメソッド
<%= raw some_helper %>
html_safe!
def some_helper (1..5).map do |i| "<li>#{i}</li>" end.join("\n").html_safe! end
safe_helper
module ApplicationHelper def some_helper #... end safe_helper :some_helper end
感想
便利で安心安全なので暫く使ってみようと思います。
まだあんまり使われてないんでしょうか。
記事が少ないですね。
既存のアプリに影響有りといえば有りなので
まだこれからなんでしょうか。