Предположим, у меня есть следующая строка
@x = "<a href='#'>Turn me into a link</a>"На мой взгляд, я хочу, чтобы ссылка отображалась. То есть я не хочу, чтобы все в @x было экранировано и отображалось в виде строки. Какая разница между использованием
<%= raw @x %>
<%= h @x %>
<%= @x.html_safe %>?
Ответы:
Учитывая Rails 3:
html_safeна самом деле «устанавливает строку» как HTML Safe (это немного сложнее, но это в основном так). Таким образом, вы можете возвращать строки HTML Safe от помощников или моделей по желанию.
hможет использоваться только из контроллера или представления, так как это от помощника. Это заставит выход быть экранированным. На самом деле это не рекомендуется, но вы, скорее всего, больше не будете его использовать: единственное использование - «отменить» html_safeобъявление, довольно необычно.
Предварительное добавление выражения к rawфактически эквивалентно вызову, to_sсвязанному с html_safeним, но оно объявляется помощником, точно так же, как hего можно использовать только в контроллерах и представлениях.
« SafeBuffers and Rails 3.0 » - хорошее объяснение того, как работает SafeBuffers (класс, который творит html_safeмагию).
hкогда-либо будет осуждается. Использование "Hi<br/>#{h@ user.name}".html_safeявляется довольно распространенным и приемлемым использованием.
rawи html_safeна практике: raw(nil)возвращает пустую строку, а nil.html_safeвыдает исключение.
hне будет "возвращать" объявление html_safe. Когда строка есть html_safe, hничего не будет делать.
Я думаю , что стоит повторить: html_safeэто не HTML-бежать вашу строку. Фактически, это предотвратит выход вашей строки.
<%= "<script>alert('Hello!')</script>" %>поставит:
<script>alert('Hello!')</script>в ваш источник HTML (да, так безопасно!), а:
<%= "<script>alert('Hello!')</script>".html_safe %>появится диалоговое окно с предупреждением (вы уверены, что это то, что вы хотите?). Таким образом, вы, вероятно, не хотите вызывать html_safeлюбые введенные пользователем строки.
html_safeэто не избежать ни экранирования в . В то время как конечный результат маркировки что - то , как не HTML безопасно, а затем , используя неявное вытекание из Еврорадио <% = тег, может быть таким же , как неэкранированные данные , а затем повторно спасаясь его на выходе, функционально он не будет ни делать. Вроде как разница (6 * -1 * -1), против 6.
Разница между Rails html_safe()и raw(). Иегуда Кац написал отличную статью об этом, и она сводится к следующему:
def raw(stringish)
stringish.to_s.html_safe
endДа, raw()это обертка вокруг, html_safe()которая вызывает ввод для String и затем вызывает html_safe()его. Это также тот случай, когда он raw()является помощником в модуле, тогда html_safe()как метод класса String создает новый экземпляр ActiveSupport :: SafeBuffer, в котором есть @dirtyфлаг.
Обратитесь к разделу " Rails 'html_safe против raw ".
html_safe :
Отмечает строку как надежную. Он будет вставлен в HTML без дополнительного экранирования.
"<a>Hello</a>".html_safe
#=> "<a>Hello</a>"
nil.html_safe
#=> NoMethodError: undefined method `html_safe' for nil:NilClassraw :
rawэто просто обертка вокруг html_safe. Используйте, rawесли есть вероятность, что строка будет nil.
raw("<a>Hello</a>")
#=> "<a>Hello</a>"
raw(nil)
#=> ""hпсевдоним для html_escape:
Служебный метод для экранирования символов HTML-тега. Используйте этот метод, чтобы избежать любого небезопасного содержимого.
В Rails 3 и выше он используется по умолчанию, поэтому вам не нужно использовать этот метод явно
Лучший безопасный способ: <%= sanitize @x %>
Это позволит избежать XSS!
В терминах Simple Rails:
h удалите HTML-теги в числовые символы, чтобы рендеринг не нарушал ваш HTML
html_safe устанавливает логическое значение в строке так, чтобы строка рассматривалась как сохранение HTML
raw Конвертирует в html_safe в строку
hЭто html_safeозначает, что HTML отображается как есть.
<%== @x %>что это псевдоним<%= raw(@x) %>edgeguides.rubyonrails.org/…