0

我刚刚以模型的形式实现了http://xing.github.com/wysihtml5/ :Post

_form.html.erb:

 <div class="field">
    <%= render 'shared/toolbar' %>
    <%= f.text_area :content, id: "wysihtml5-textarea", placeHolder: "Content" %>
  </div>

显示.html.erb:

  <span class="post-content">
    <%= @post.content %>
  </span>

显示所见即所得编辑器结果的最佳和最安全的方式是什么?

(现在输出看起来像这样):

text <i>editor</i> <b>test</b>&nbsp;text <u>editor</u> test&nbsp;text editor test

(不确定我是否需要太多安全性,因为它只有<i><b><u>标签。在这种情况下,我应该只使用raw还是escape?)

4

2 回答 2

1

小心 HTML 插入!看看消毒宝石

当然,使用 raw 来显示您的净化 html:

<%= raw @post.content %>

于 2012-10-21T12:09:53.400 回答
0

我这样做:

<%= raw @post.content %>

但是你信任你的用户吗?因为他们也可以插入 HTML(正如我从演示中看到的那样),所以我会说不要。

于 2012-10-21T12:06:02.803 回答