Я прочитал и проверил, что simple_format
позволяет использовать определенные теги html.
Это достаточно безопасно, чтобы снова защитить xss? (при условии, что я не возражаю против того, чтобы пользователь поместил html, чтобы сделать свой текст красивым) Может ли это привести к xss? или мне следует придерживаться метода h
?
h
и использоватьsimple_format
. Они взаимоисключающие. - person meagar   schedule 03.12.2012simple_format
. Как указано в документе, он пытается дезинфицировать свой ввод. - person meagar   schedule 03.12.2012