从Rails 3.0开始,默认转义HTML标签以确保安全。本文介绍如何使用raw或.html_safe方法来安全地呈现用户输入的HTML内容。
原来在Rails2.0时代,它是默认允许用户输入html标签的,有时候为了系统安全我们还要特意加上String h 例如<%= h some_thing %>去阻止系统解析可运行标签。
但自从Rails发布3.0版本以后,Rails就默认escape Html标签,认为html标签Unsafe。但是,有时候我们又确实想系统能够执行Html标签,例如我们想允许用去通过这种方式去插入图片等。那么怎么办可以解决这么问题?
通过查看Rails的API发现,通过加入String raw可以允许系统执行html标签,例如<%= raw(some_thing) %>这种方式。加入raw就是默认这个字段允许系统执行所有的html标签。
另外在Rails中还有一种叫白名单的东西,方式是<%= (some_thing).html_safe %>来运行系统执行html标签。这种方式似乎自定义系统能够执行的html标签,但是怎么设置还没有完全弄懂,学会啦再来写这一部分吧!
但自从Rails发布3.0版本以后,Rails就默认escape Html标签,认为html标签Unsafe。但是,有时候我们又确实想系统能够执行Html标签,例如我们想允许用去通过这种方式去插入图片等。那么怎么办可以解决这么问题?
通过查看Rails的API发现,通过加入String raw可以允许系统执行html标签,例如<%= raw(some_thing) %>这种方式。加入raw就是默认这个字段允许系统执行所有的html标签。
另外在Rails中还有一种叫白名单的东西,方式是<%= (some_thing).html_safe %>来运行系统执行html标签。这种方式似乎自定义系统能够执行的html标签,但是怎么设置还没有完全弄懂,学会啦再来写这一部分吧!
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
