如何允许用户在我的 Rails 应用程序中添加 html 和 javascript

【问题标题】:how to allow user to add html and javascript in my rails app如何允许用户在我的 Rails 应用程序中添加 html 和 javascript
【发布时间】:2015-05-03 10:54:43
【问题描述】:

我想创建一个 Rails 应用程序,用户可以在其中创建自己的博客,例如:user1blog.myapp.comuser2blog.myapp.com 等...

我想允许用户添加 html 和 javascript(有时他们需要在他们的博客中添加弹出窗口,或者跟踪代​​码......)

我看到很多网站都允许用户添加脚本和 html 而没有任何限制,但是我怎样才能在不影响 Rails 应用程序安全性的情况下也这样做呢?

【问题讨论】:

    标签: javascript ruby-on-rails security


    【解决方案1】:

    这个问题有多个方面:

    动态子域

    其他问题解决这个问题:

    Rails 4 Dynamic Subdomains

    Ruby on Rails route for wildcard subdomains to a controller/action

    简短回答,有很多方法,具体取决于您的用例。

    用户提交的html、js

    这里也有很多解决方案。

    我建议搜索“CMS”(内容管理系统)。

    有炼油厂、Comfy Mexican Sofa 等解决方案。 同样,这在很大程度上取决于您的用例。

    Rails 应用的安全性

    如果您允许用户提交 html 和 js,我会说您隐含地损害了您网站的安全性。您的 Rails 应用程序本身可能是安全的,但这是关于 xss、auth[z/n] 和其他项目的主要话题。同样,高度依赖于您的用例。

    【讨论】:

    • 我知道子域,但我认为它们不能解决安全问题!每次你在我的用例中说依赖!我认为我的用例非常简单:找到任何类型的安全解决方案,同时允许用户保存 javascript 和 html 代码。像 blogger 和 thumblr 这样的网站是怎么做的?
    • 问题是您的问题中没有发现“安全问题”。您担心什么问题?例如,作为一个微不足道的案例(这不好) - 为什么您不能允许允许任意上传文件的表单,并带有“子域”的文本字段?
    • 我没有具体说明一个确切的问题,因为我不知道攻击的所有可能性,但主要是防止用户访问另一个用户帐户,我也会有一个我的主域中的管理区域,其他用户也无法访问...
    • 还有包月,我希望系统足够安全!我愿意接受各种想法和建议...
    • 在本网站的元部分 (stackoverflow.com/help/dont-ask):“你的问题应该有合理的范围。如果你能想象一本书可以回答你的问题,那你就问得太多了。”这接近该域。我建议您以特定的方式展示您尝试过的、您期望的以及您当前的努力/技术如何不足,而不是像这样的广泛问题。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2015-11-16
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode