我有一个系统让用户能够发布 cmets。
cmets 被抓取到一个 textarea 中。
我的问题是用 br 标签格式化 cmets 来替换 \n
事实上,我可以做这样的事情
s.gsub(/\n/, '<br />')
但是包含在 rails 中的 xss 保护会转义 br 标签。
所以我可以这样做
s.gsub(/\n/, '<br />').html_safe
但是,所有的标签都被接受,甚至是脚本......导致了很大的安全问题
所以我的问题是:如何安全地用 br 格式化文本?
谢谢
编辑: 现在,我已经添加了这个
def sanitaze
self.gsub(/(<.*?>)/, '')
end
def nl2br
self.sanitaze.gsub(/\n/, '<br />').html_safe
end
【问题讨论】:
标签: ruby-on-rails ruby-on-rails-3
正如 Ryan Bigg 所建议的那样,simple_format 是完成这项工作的最佳工具:它“安全”并且比其他解决方案更整洁。
所以对于@var:
<%= simple_format(@var) %>
如果您需要清理文本以去除 HTML 标记,您应该这样做在将其传递给simple_format
http://api.rubyonrails.org/classes/ActionView/Helpers/TextHelper.html#method-i-simple_format
【讨论】:
simple_format 可能通常是最好的解决方案,但它会将 标签放在您的文本周围和(有时)内部,所以我最终使用了<%= raw(h(comment.text).gsub(/\n/,"<br />\n")) %>。
:wrapper_tag 设置为nil。 :wrapper_tag - String representing the wrapper tag, defaults to "p".
simple_format("a\n b\n\n c", {}, wrapper_tag: nil) => "<>a\n<br /> b</>\n\n<> c</>"
我能想到的最好方法是使用 sanitize 方法去除除我们想要的 BR 标记之外的所有标记。
假设我们有@var,内容为"some\ntext":
尝试<%= @var.gsub(/\n/, '<br />') %> 不起作用。
尝试<%= h @var.gsub(/\n/, '<br />').html_safe %> 无效且不安全。
尝试<%= sanitize(@var.gsub(/\n/, '<br />'), :tags => %w(br) %> WORKS。
我还没有很好地测试这个,但它允许 BR 标记工作,并用空格替换了我添加的虚拟脚本警报,所以它似乎正在完成它的工作。如果其他人有想法或可以说这是否是一个安全的解决方案,请这样做。
更新:
Jose Valim 提出的另一个想法:
<%= h(@var).gsub(/\n/, '<br />') %> 工作
【讨论】:
simple_format 将所有内容都包装在 <p></p> 中注意:我需要添加 .html_safe (rails 3.2)
这里是what I did:
module ApplicationHelper
def nl2br s
sanitize(s, tags: []).gsub(/\n/, '<br>').html_safe
end
end
【讨论】: