Можно ли отключить экранирование только для кодированных символов? Например, если у меня есть á
Я не хочу получать &225;
, Но имея <script>
преобразованный в <script>
было бы здорово :)
Например: я извлекаю person
из некоторых удаленных источников. И person.name
может быть чем-то вроде "Cristi & person.name
; n Romo", который на самом деле "Cristián Romo". Поэтому, когда я использую
%header= @person.name
У меня не было настоящего "Кристи и Ромо", а не "Cristi & # 225; n Romo".
С другой стороны, я не могу гарантировать, что person.name не будет чем-то плохим, как javascript. И я хотел бы сохранить это в безопасности.
Более того, я не понимаю, как избежать кодированных символов делает код более безопасным
Попробуйте это:
%header= raw(@person.name)
raw
- это то же самое, что и .html_safe. Once again, I can't be sure that
person.name` безопасен. И не понимаю, как закодированные символы могут быть небезопасными.