Per chi non lo sa, .html_safe
è il metodo rails, che emette le stringhe come parte del documento html.
Il problema è che la stringa è stata inserita dall'utente. Cosa ho fatto per evitare alcune cattive azioni: inserzioni di regexp dopo ogni <
o >
simbolo invisibile, che interrompe tutti i tag, che potrebbero essere parte di html del documento.
Ma sento ancora un po 'insicuro - protegge la pagina? Qualunque altro modo di usare .html_safe
, tranne i tag, o il simbolo non mi protegge abbastanza?