Aşağıdaki dizeye sahip olduğumu varsayalım
@x = "<a href='#'>Turn me into a link</a>"Benim görüşüme göre bir bağlantının gösterilmesini istiyorum. Yani, @x içindeki her şeyin kaçınılmasını ve bir dize olarak görüntülenmesini istemiyorum. Kullanma arasındaki fark nedir
<%= raw @x %>
<%= h @x %>
<%= @x.html_safe %>?
Yanıtlar:
Raylar 3 dikkate alındığında:
html_safeaslında "dizgiyi" HTML Kasası olarak ayarlar (bundan biraz daha karmaşıktır, ancak temelde budur). Bu şekilde, HTML Safe dizelerini yardımcılardan veya modellerden istediğiniz zaman döndürebilirsiniz.
hyalnızca bir denetleyiciden veya görünümden kullanılabilir, çünkü bir yardımcıdan gelir. Çıktıdan kaçmaya zorlar. Gerçekten itiraz edilmiyor, ancak büyük olasılıkla artık kullanmayacaksınız: Tek kullanım, bir html_safebildirimi "geri döndürmek" , oldukça sıra dışı.
İfadenizi birlikte eklemek rawaslında onunla to_szincirleme çağrıya eşdeğerdir html_safe, ancak tıpkı bir hkontrolörde beyan edilir , bu yüzden sadece kontrolörlerde ve görünümlerde kullanılabilir.
" SafeBuffers and Rails 3.0 " SafeBuffers'nin ( html_safesihri yapan sınıfın) nasıl çalıştığına dair güzel bir açıklama .
hBunun hiç reddedileceğini söyleyemem . Kullanımı "Hi<br/>#{h@ user.name}".html_safeoldukça yaygın ve kabul edilen bir kullanımdır.
rawve html_safepratikte küçük bir fark olduğunu unutmayın : raw(nil)boş bir dize döndürürken nil.html_safebir istisna atar.
hbir html_safe bildirimini "geri döndürmez". Bir dize olduğunda, html_safe, hhiçbir şey yapacağız.
Ben tekrar ayılar düşünüyorum: html_safeyok değil sizin dize HTML kaçış. Aslında, dizenizin kaçmasını önleyecektir.
<%= "<script>alert('Hello!')</script>" %>koyacağım:
<script>alert('Hello!')</script>HTML kaynağınıza (yay, çok güvenli!)
<%= "<script>alert('Hello!')</script>".html_safe %>uyarı iletişim kutusu açılır (istediğiniz şey olduğundan emin misiniz?). Dolayısıyla, muhtemelen html_safekullanıcı tarafından girilen herhangi bir dizeyi aramak istemezsiniz .
html_safegelmez değil kaçmak ne de çıkış yapılmış. Bir şeyi HTML için güvenli değil olarak işaretlemenin ve ardından ERB <% = etiketinin örtülü çıkışını kullanmanın sonucu olarak, çıkıştan kaçan verilerle ve ardından çıkışta yeniden kaçmakla aynı olabilir, işlevsel olarak hiçbiri yapmaz. (6 * -1 * -1),
Aradaki fark Rails ' html_safe()ile raw(). Bu konuda Yehuda Katz'ın mükemmel bir yazısı var ve gerçekten buna bağlı:
def raw(stringish)
stringish.to_s.html_safe
endEvet, girdiyi raw()String'e html_safe()zorlayan ve daha sonra çağıran bir sarmalayıcıdır html_safe(). Ayrıca, raw()modülde yardımcı olan durumdur, ancak html_safe()String sınıfında, içinde bir @dirtybayrak bulunan yeni bir ActiveSupport :: SafeBuffer örneği yapan bir yöntemdir .
" Rails 'html_safe vs. raw " başlığına bakın .
html_safe :
Bir dizeyi güvenilir kasa olarak işaretler. Ek kaçış yapılmadan HTML'ye eklenir.
"<a>Hello</a>".html_safe
#=> "<a>Hello</a>"
nil.html_safe
#=> NoMethodError: undefined method `html_safe' for nil:NilClassraw :
rawsadece bir sarıcı html_safe. rawDizenin gerçekleşme olasılığı varsa kullanın nil.
raw("<a>Hello</a>")
#=> "<a>Hello</a>"
raw(nil)
#=> ""hiçin takma ad html_escape:
HTML etiketi karakterlerinden kaçmak için bir yardımcı yöntem. Güvenli olmayan içerikten kaçmak için bu yöntemi kullanın.
Rails 3 ve üzeri sürümlerde varsayılan olarak kullanılır, bu nedenle bu yöntemi açıkça kullanmanıza gerek yoktur
En güvenli yol: <%= sanitize @x %>
XSS'den kaçınacak!
Basit Raylar terimleriyle:
h html etiketlerini sayı karakterlerine kaldırın, böylece oluşturma html'nizi kırmaz
html_safe dizede bir boolean ayarlar, böylece dize html save olarak kabul edilir
raw Html_safe dizgiye dönüştürür
holduğu html_safeolduğu gibi HTML oluşturulduğunda, yani.
<%== @x %>için,<%= raw(@x) %>edgeguides.rubyonrails.org/…