如何使用 Rails 在标题标签上显示一些 HTML 实体

Question

我正在运行 Rails 4.2.x，但遇到以下问题。

某些页面的<title> 是从用户内容生成的。所以我必须使用sanitize Rails 助手来正确清理它。

但是如果用户写了“A&B”之类的东西，浏览器中显示的标题是A & B，这是错误的。

使用 Rails 转义 <title> 标签上的用户内容的正确方法是什么？至少应该包含一些特殊字符...

Answer 1

我们可以使用CGi 还有

title =  "A & B"
=> "A & B"
string = CGI.escapeHTML(title)
=> "A & B" 
string = CGI.unescapeHTML(title)
=> "A & B"

Rails 提供了如此多的逃生选择

参考这些链接：

raw vs. html_safe vs. h to unescape html

How to HTML encode/escape a string? Is there a built-in?

如果你想删除标签，你可以使用SanitizeHelper

另一种选择：WhiteListSanitizer

white_list_sanitizer = Rails::Html::WhiteListSanitizer.new
white_list_sanitizer.sanitize(s, tags: %w())
white_list_sanitizer.sanitize(s, tags: %w(table tr td), attributes: %w(id class style))

你也可以使用Rails::Html::TargetScrubber

Answer 2

您可以通过 sanitize 和 htmlentities gem 的组合对 html 实体进行清理并将其转换为适当的字符。这在控制台中对我有用：

gem install htmlentities

那么……

c = ActionController::Base::ApplicationController.new
dirty_content = "<script>content & tags</script>"
clean_but_with_entities = c.helpers.sanitize(dirty_content)
nice_looking = HTMLEntities.new.decode(clean_but_with_entities.to_str )

您最终会得到“内容和标签”。为了让这个更容易使用，我把它放在 application_controller 中：

helper_method :sanitize_and_decode
def sanitize_and_decode(str)
  helpers.sanitize(str)
  HTMLEntities.new.decode(str.to_str)
end

（to_str 是为了解决here提到的SafeBuffer问题）