我想在我的 Rails 应用程序中添加Tiny MCE,因此每个用户都可以使用此工具添加帖子并设置文本样式,如果我允许这样做会有危险,因为当我显示用户的帖子时,有必要使用类似这样的东西
<%= post.content.html_safe %>
问问题
133 次
1 回答
0
我知道这是一个老问题,但我想如果有人正在寻找答案,我还是会回答。在显示用户添加的内容时使用 html_safe (或 raw )并不总是一个好主意,因为它使您容易受到攻击(如果我们假设您的用户并不都是好人;))但是有一个名为 sanitize 的 rails 助手(http://api.rubyonrails.org/classes/ActionView/Helpers/SanitizeHelper.html#method-i-sanitize),它可以满足您的需求,并且可以与来自tinymce编辑器的输入一起使用。你可以像这样使用它:
<%= sanitize post.content %>
于 2014-10-21T11:51:41.793 回答