※上記の広告は60日以上更新のないWIKIに表示されています。更新することで広告が下部へ移動します。

プラグイン名

SafeERBプラグイン

このプラグインができること

  1. ERBテンプレートで、<%= ar.hoge %>など、DBや入力パラメータ由来の文字に対して、サニタイズを忘れていたときに例外を出してくれる


ちょー簡単な使い方

これだけ。簡単。

公式ページ


日本語解説ページ


外国語解説ページ


のうはう

  • 例外を出すかどうかはtaintという機能(? フラグ?)を使っている
  • DBや入力パラメータ由来の文字はtaint状態になっていて、手動でコレを解除するにはstring.untaintとすればよい
  • SafeERBプラグインではERB::Util#h(<%=h ar.hoge %>みたいなやつ)とActionView::Helpers::TextHelper#strip_tags(<%= ar.hoge.strip_tags %>みたいなやつ)を拡張しているので、これを使ったときには自動的にuntaintが呼ばれるので例外が発生しない


コメント

名前: