我的问题是只从 rails 中的 html 内容执行标签。
我使用的是原始的,消毒的,但所有的 html 标签都被执行了
例子
@input = '<a href="http://www.example.com/">go</a> <b>bold</b> <i>bat</i>'
<%=raw @input%>
<%=sanitize @input%>
有相同的输出:go bold bat
我的建议是输出:go<b>bold</b> <i>bat</i>
我像 facebook 一样实现哈希标签,但用户输入不安全许多哈希标签和许多 html 标签
有什么想法吗? 谢谢你
【问题讨论】:
标签: html ruby-on-rails ruby ruby-on-rails-4 ruby-on-rails-3.2
我也为此苦苦挣扎,以下将有所帮助:
@input = '<a href="http://www.example.com/">go</a>'
@input += '<b>bold</b> <i>bat</i>'.encode {xml: :text}
这会将 HTML 特殊字符格式化为原始符号。更多信息请访问the docs for String#encode。
【讨论】:
你可以这样做:
<% @input = '<a href="http://www.example.com/">go</a>'.html_safe+'<b>bold</b> <i>bat</i>' %>
<%= raw @input %>
【讨论】:
@input = '<a href="http://www.example.com/">go</a>'.html_safe
@input += ' <b>bold</b> <i>bat</i>'
<%= @input %>
【讨论】:
link_to 比敲出原始 HTML 更可取。