сырье против html_safe против h до эскейп html
Предположим, что у меня есть следующая строка
@x = "<a href='#'>Turn me into a link</a>"
На мой взгляд, я хочу, чтобы отображалась ссылка. То есть, я не хочу, чтобы все в @x было unescaped и отображалось как строка. Какая разница между использованием
<%= raw @x %>
<%= h @x %>
<%= @x.html_safe %>
?
6 ответов
Учитывая рельсы 3:
html_safe фактически "устанавливает строку" как HTML Safe (это немного сложнее, но в основном это). Таким образом, вы можете возвращать безопасные строки HTML из помощников или моделей по своему усмотрению.
h может использоваться только из контроллера или представления, поскольку он из помощника. Это заставит выход быть экранированным. Это не очень устарело, но вы, скорее всего, больше не будете его использовать: единственное использование - "вернуть" объявление html_safe, довольно необычное.
Превращение выражения с помощью raw на самом деле эквивалентно вызову to_s с цепью html_safe на нем, но объявляется в помощнике, как и h, поэтому его можно использовать только для контроллеров и представлений.
" SafeBuffers and Rails 3.0 - это отличное объяснение того, как работает SafeBuffer (класс, выполняющий магию html_safe),
-
41Я бы не сказал, что
hкогда-либо будет устареть. Использование"Hi<br/>#{h@ user.name}".html_safeявляется довольно распространенным и общепринятым. -
1@Maletor интересное использование, хотя я все еще думаю, что оно попадает в категорию "необычных".
Я думаю, что это повторяется: html_safe делает не HTML-escape-строку. Фактически, это предотвратит экранирование вашей строки.
<%= "<script>alert('Hello!')</script>" %>
поставит:
<script>alert('Hello!')</script>
в ваш источник HTML (yay, так безопасно!), а:
<%= "<script>alert('Hello!')</script>".html_safe %>
появится диалоговое окно предупреждения (вы уверены, что хотите?). Поэтому вы, вероятно, не хотите вызывать html_safe для любых введенных пользователем строк.
-
74Другими словами, html_safe - это не «пожалуйста, сделайте этот HTML-код безопасным», а наоборот - это вы, программист, говорите рельсам, что «эта строка безопасна для HTML, обещайте!»
-
10это действительно должно быть переименовано в
.unescape_htmlв исходном коде rails ..
Разница между Rails html_safe() и raw(). На этом есть отличный пост Иегуды Кац, и это действительно сводится к следующему:
def raw(stringish)
stringish.to_s.html_safe
end
Да, raw() является оберткой вокруг html_safe(), которая заставляет вход в String, а затем вызывает на нем html_safe(). Это также случай, когда raw() является помощником в модуле, тогда как html_safe() является методом класса String, который создает новый экземпляр ActiveSupport:: SafeBuffer, который имеет в нем флаг @dirty.
Обратитесь к разделу Rails html_safe vs. raw.
-
html_safe:Пометка строки как надежного безопасного. Он будет вставлен в HTML без дополнительной эвакуации.
"<a>Hello</a>".html_safe #=> "<a>Hello</a>" nil.html_safe #=> NoMethodError: undefined method `html_safe' for nil:NilClass -
raw:raw- это всего лишь обертка вокругhtml_safe. Используйтеraw, если есть вероятность, что строка будетnil.raw("<a>Hello</a>") #=> "<a>Hello</a>" raw(nil) #=> "" -
hдляhtml_escape:Утилита для экранирования символов HTML-тегов. Используйте этот метод, чтобы избежать любого небезопасного содержимого.
В Rails 3 и выше используется по умолчанию, поэтому вам не нужно явно использовать этот метод
Лучший безопасный способ: <%= sanitize @x %>
Это позволит избежать XSS!
В простых терминах Rails:
h удалите html-теги в числовые символы, чтобы рендеринг не нарушил ваш html
html_safe задает логическое значение в строке, так что строка считается html save
raw Он преобразуется в html_safe в строку
-
0
hявляетсяhtml_safe, что означает, что HTML отображается как есть.
Ещё вопросы
- 0ngRoute решает проблему с инжектором
- 0c ++ начать звуковой клип со смещением
- 0AngularJS -Контроллер не вызывается
- 1Linq to sql Отличное после присоединения
- 1NSL KDD Особенности от Raw Live Packets?
- 0JQuery селектор не исключая: не
- 0Knockout Mapping для изображения (ссылки) в Json
- 1Возможно ли манипулирование CSS-данными через Integer в GWT?
- 0Двухфакторная аутентификация Qt c ++
- 1Скрепка с ActionCable
- 1Ошибка доступа к данным в элементе сообщения
- 0Изображение не будет добавлено в базу данных SQL
- 1Запрет NServiceBus регистрировать мою строку подключения хранилища Azure
- 1JavaScript - отправка электронной почты с использованием AWS SES
- 0Дата-Время в Qt
- 0npm-install выбрасывает исключение для angular-seed
- 0Получить левые поля таблицы, если правое объединение равно нулю на MySQL
- 0(Javascript) Как добавить таймер обратного отсчета к опции выбора
- 0Окна Div сдвигаются, если я помещаю в них текст
- 1Озадаченный чем-то в методе .reduce () (Javascript)
- 1Отправка пользовательского кадра / пакета в Python
- 0функция () не реагирует на отправку формы
- 1Создание новой даты из разницы / вычитание двух периодов (с отрицательным временем)
- 1Как вы компилируете приложение фляги с Cython?
- 0JQuery заменяет часть текста в <p> на <img>
- 0почему элемент указателя инициализирован ненулевым?
- 0изменить первое и последнее значение строки PHP
- 0Пользовательская роспись в DataGridView, странное визуальное отображение
- 0MySQL разъем в Python не работает
- 1В чем разница между двумя способами назначения методов для объекта делегата [дубликата]
- 1Является ли откладывание проблем безопасности до конца цикла разработки приложений хорошим подходом?
- 0как группировать столбцы mysql с условиями
- 0Числа 3, 5 и 7 не отображаются как простые
- 1Ожидаемый двумерный массив, вместо этого получен одномерный массив при попытке инвертировать масштабированные данные
- 0Почему я не могу найти совпадений с knnMatch, используя OpenCV с C ++?
- 0совместное использование объекта через контроллеры angularjs с помощью сервиса
- 0Динамический выпадающий список с использованием HTML и PHP
- 1ItemRegister Iterator
- 0Apache2 не получают правильный путь
- 1удалить строку Pandas df с помощью маски на основе последней буквы столбца строки
- 0PHP Cron процесс работы с маркером в URL
- 0Открытие локального файла XML в Google Chrome
- 1как добавить ограничения в форму входа?
- 1JSR-303 ошибки проверки на сущности не отображаются в JSP
- 1Вызов Java в XSL, неправильный тип параметра
- 1добавить новую строку другого цвета в конце таблицы
- 0Php preg_replace () используя
- 0Включить Twig в хост Cpanle
- 1Как бороться с зависимыми полями при сериализации?
- 1java.io.NotSerializableException :: ObjectOutputStream: метод writeObject
<%== @x %>@x<%== @x %>который является псевдонимом<%= raw(@x) %>edgeguides.rubyonrails.org/…