首頁猿問原始vs.html_securit...

原始vs.html_security vs.h以取消轉(zhuǎn)義html。

Ruby

滄海一幻覺 2019-06-24 10:31:54

原始vs.html_security vs.h以取消轉(zhuǎn)義html。假設(shè)我有以下字符串@x = "<a href='#'>Turn me into a link</a>"在我看來，我希望顯示一個鏈接。也就是說，我不希望@x中的所有內(nèi)容都被轉(zhuǎn)義并顯示為字符串。使用<%= raw @x %><%= h @x %><%= @x.html_safe %>?

查看完整描述

3 回答

大話西游666

TA貢獻1817條經(jīng)驗獲得超14個贊

我認為有必要重復一遍：html_safe是嗎？不HTML-轉(zhuǎn)義你的字符串。實際上，它將防止您的字符串被轉(zhuǎn)義。

<%= "<script>alert('Hello!')</script>" %>

將：

&lt;script&gt;alert(&#x27;Hello!&#x27;)&lt;/script&gt;

進入您的HTML源代碼(Yay，非常安全！)，同時：

<%= "<script>alert('Hello!')</script>".html_safe %>

將彈出警報對話框(您確定這是您想要的嗎？)所以你可能不想打電話html_safe在任何用戶輸入的字符串上。

反對回復 2019-06-24

波斯汪

TA貢獻1811條經(jīng)驗獲得超4個贊

區(qū)別在于Rails‘html_safe()和raw()..葉胡達·卡茨(Yehuda Katz)在這方面發(fā)表了一篇很棒的文章，它可以歸結(jié)為：

def raw(stringish)

  stringish.to_s.html_safeend

是,raw()是個包裝器html_safe()，這將強制輸入字符串，然后調(diào)用html_safe()在上面。情況也是如此raw()是模塊中的助手，而html_safe()是String類上的一個方法，它生成一個新的ActiveSupport：SafeBuffer實例，該實例具有@dirty旗子在里面。

參考“Rails的html_security與RAW".

反對回復 2019-06-24