Ruby on Rails: как отобразить строку в виде HTML?

154

у меня есть

@str = "<b>Hi</b>"

и по моему мнению:

<%= @str %>

Что будет отображаться на странице: Hiкогда я действительно хочу Привет . Что такое рубиновый способ «интерпретировать» строку как разметку HTML?

Изменить : случай, когда

@str = "<span class=\"classname\">hello</span>"

Если, на мой взгляд, я делаю

<%raw @str %>

Исходный код HTML - это hello</spanто, где я действительно хочу hello(без обратной косой черты, которой не хватает двойных кавычек). Какой лучший способ "убрать" эти двойные кавычки?

— Тим
источник

Вы также можете использовать синтаксис% Q [] для экранирования строк. например, %Q["quotation marks"] => "\"quotation marks\"" источник: en.wikibooks.org/wiki/Ruby_Programming/Syntax/… Не знаю, поможет ли это.

— 0112

328

ОБНОВИТЬ

По соображениям безопасности рекомендуется использовать sanitizeвместо html_safe. Ссылка на сайт

Происходит то, что в качестве меры безопасности Rails избегает вашей строки за вас, потому что в нее может быть встроен вредоносный код. Но если вы скажете Rails, что ваша строка есть html_safe, она пройдет через нее.

@str = "<b>Hi</b>".html_safe
<%= @str %>

ИЛИ

@str = "<b>Hi</b>"
<%= @str.html_safe %>

Использование rawотлично работает, но все, что он делает, это конвертирует строку в строку, а затем вызывает html_safe. Когда я знаю, что у меня есть строка, я предпочитаю вызывать html_safe напрямую, потому что он пропускает ненужный шаг и проясняет, что происходит. Подробная информация о экранировании строк и защите XSS находится в этом Asciicast .

— Иаков
источник

Фантастика. Я не мог найти, как это сделать, даже после поиска в течение часа. Спасибо за Ваш ответ.

— Салил

1

Я всегда использовал raw. Очень рад узнать об этом!

— Jmcharnes

Дарить благодарности из будущего =)

— Карлос Моралес

1

sanitize удаляется в соответствии со stackoverflow.com/questions/44575106/…

— Youness

16

Используйте сырье :

<%=raw @str >

Но, как правильно говорит @ jmort253, подумайте, где на самом деле принадлежит HTML.

— Майкл Стум
источник

Привет, это решение работает, за исключением одного предупреждения: см. Отредактированный вопрос

— Тим

14

Если вы railsиспользуете Erubis - самый крутой способ сделать это

<%== @str >

Обратите внимание на двойной знак равенства. См. Связанный вопрос на SO для получения дополнительной информации.

— jibiel
источник

8

Вы также можете использовать simple_format(@str)который удаляет вредоносный код. Подробнее читайте здесь: http://api.rubyonrails.org/classes/ActionView/Helpers/TextHelper.html#method-i-simple_format

— bcackerman
источник

7

Вы смешиваете свою бизнес-логику с вашим контентом. Вместо этого я бы порекомендовал отправить данные на вашу страницу, а затем использовать что-то вроде JQuery, чтобы поместить данные туда, куда вам нужно.

Это дает преимущество, заключающееся в том, что весь ваш HTML-код хранится на тех HTML-страницах, к которым он относится, поэтому ваши веб-дизайнеры могут позже изменить HTML-код без необходимости пролистывать код на стороне сервера.

Или, если вы не хотите использовать JavaScript, вы можете попробовать это:

@str = "Hi"

<b><%= @str ></b>

По крайней мере, так ваш HTML находится на странице HTML, где он принадлежит.

— jmort253
источник

Проблема в том, что мое приложение берет файл с плохой разметкой и «переводит» его через регулярные выражения в хорошую HTML-разметку для отправки в представление. Поэтому генерируемая HTML-разметка является динамической, поэтому я не знаю заранее, какие теги должны окружать @str. Где бы я выполнял эту «переводческую» работу, если бы не модели? Я думал, что у нас не должно быть обширного логического кода в представлениях.

— Тим

1

Это действительно вопрос мнения. При разработке нового приложения я предпочитаю держать все как можно более чистым. Но часто мы должны работать в рамках того, что оставили нам другие. Если ваш источник данных возвращает HTML-разметку, возможно, стоит взглянуть на использование «raw», как описано в решении Майкла Стума.

— jmort253

1

Если вы унаследовали поддержку какого-либо кода, и в коде есть области, которые плохо продумываются или имеют плохой дизайн, то в действительности вы несете ответственность за его очистку, чтобы сделать его более удобным для сопровождения. Оставить его таким, каким вы его нашли, - это хорошо, когда это отличный код для начала, но оставить его лучше, чем вы находили, это хорошо, когда он нуждается в работе. Частью моей работы является управление некоторыми устаревшими приложениями; Я фанат не чинить вещи, которые не сломаны, но они не могут быть легко улучшены из-за того, как они были написаны. Мне пришлось переписать большинство вызовов функций, но теперь работать намного проще.

— Железный Человек

Вы не должны использовать JavaScript для своей HTML-интерполяции, если нет другой причины использовать JS. Это нарушит ваш сайт , не JS браузерах (да, там находятся некоторые).

— Марнен Лайбоу-Козер

1

Разумеется, если вы разрешаете не экранированный контент, то вы можете сделать все возможное, чтобы гарантировать, что не будет злой разметки.

— Макарио

6

Или вы можете попробовать метод CGI.unescapeHTML .

CGI.unescapeHTML "&lt;p&gt;This is a Paragraph.&lt;/p&gt;"
=> "<p>This is a Paragraph.</p>"

— Арман Ортега
источник

0

поскольку вы переводите и выбираете нужный код из дрянного закодированного файла, можете ли вы использовать content_tag в сочетании с вашим регулярным выражением.

Кража из api docs, вы можете интерполировать этот переведенный код в content_tag как:

<%= content_tag translated_tag_type.to_sym, :class => "#{translated_class}" do -%>
<%= translated_text %>
<% end -%>
# => <div class="strong">Hello world!</div>

Не зная вашего кода, такое мышление сделает ваш переведенный код слишком совместимым.

— pjammer
источник

Я предполагаю, что translation_text - это фактический контент внутри div, верно? т.е. в примере это будет "Hello world!"? Что если в Translate_text больше HTML, то есть вложенных элементов div или span? Должен ли я вызывать content_tag много раз?

— Тим

и ... извините, нажмите enter рано ... каждый вложенный div / span внутри по-прежнему является тегом content_tag, и вам все равно нужно его проверить, правда? Так как мы не можем видеть, что вы делаете с вашим необычным переводом ;-), я бы предположил, что вы ищете ВСЕ теги, независимо от того, находится ли регулярное выражение в «родительском» html ..., например, <ul>. Вы бы не поместили все лики в виде большой задницы для печати, не так ли? у каждого будет свой content_tag: li, текст правильный?

— Пьяммер

0

@str = "hello" Если, на мой взгляд, я делаю

<%raw @str %> Исходный код HTML - это helloто, что я действительно хочу hello(без обратной косой черты, которая экранирует двойные кавычки). Какой лучший способ "убрать" эти двойные кавычки?

Решение: используйте двойные кавычки внутри одинарных кавычек (или одинарные внутри двойных), чтобы избежать обратной косой черты.

@str = '<span class="classname">hello</span>'
<%raw @str %>

— авария
источник

0

Версия html_safe хорошо работает в Rails 4 ...

<%= "<center style=\"color: green; font-size: 1.1em\" > Administrators only </center>".html_safe if current_user.admin? %
>

— Джорджия
источник