问题标签 [html-safe]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
3 回答
7309 浏览

ruby-on-rails-3 - 在 Rails 3 中强制 HTML 转义

我遇到了rails自动转义的问题。它目前认为一个字符串是 html_safe (它是),但出于显示目的,我仍然需要它来转义 html。这是字符串正在采取的步骤。

部分基本上是

我的理解是,因为我直接在视图中显示文本(h2 等),所以它假定它是安全的,并且它也正确地转义了项目输出,这使得整个 my_string 安全。所以,当我尝试用

它不会转义剩余的 html。我尝试添加 h 来强制转义,但这没有用。

所以我的问题是,除了在字符串上调用会使其不安全的东西之外,是否有强制 html 转义安全字符串的方法?

非常感谢你的帮助。

0 投票
1 回答
2108 浏览

ruby-on-rails - Rails 3 - 在用户生成的评论内容上替代 html_safe?

显然,对用户生成的评论内容使用 html_safe 方法确实不是一个好的解决方案。然而,到目前为止,这是我能想出的实现以下功能的唯一解决方案:我想让用户能够引用另一个评论,只需在评论表单中输入另一个评论的迭代 id,就像这样“#14 "(引用那篇文章的评论 14)。然后这个 #14在内容输出中被替换为“[quoted_comment.content]” 。

这是我在评论模型中的代码:

然后在我的评论视图中,我将它与 comment.content_with_quotes.html_safe 一起应用,一切正常。

所以,这就是我想要的,它可以工作,但当然,这个 html_safe 方法对于用户提交的内容来说是个坏主意,因为它可能不是 html 安全的。
关于如何在不使用 html_safe 方法的情况下使用我的功能的任何建议?

0 投票
1 回答
562 浏览

ruby-on-rails - Rails 3:允许用户使用基本 HTML 标签

在我的网站上,用户可以发表评论。我希望他们能够在他们的评论中插入基本的 HTML,包括粗体、斜体和链接标签。不幸的是,Rails 会自动转义所有用户生成的 HTML。

我可以通过调用 .html_safe 来绕过这种行为,但这样我的网站就容易受到 XSS 的攻击。有没有办法允许粗体、斜体和链接标签,同时仍然转义其他内容?

0 投票
3 回答
4361 浏览

ruby-on-rails-3 - Rails 3提交标签+ html_safe

这行代码有什么问题?

这实际上产生:

在此处输入图像描述

显然我的 html_safe 调用没有做任何事情。

背景:

我正在使用Twitter BootstrapFont Awesome,我实际上是在尝试实现一个带有图标的提交按钮。

0 投票
1 回答
1467 浏览

ruby-on-rails - HTML_SAFE 允许除

0 投票
3 回答
1102 浏览

ruby-on-rails - 如何从数据库中的文本列字段呈现 html?

我在数据库中有一个TEXT类型的welcome_emil列。

我已将保存在列中的以下代码内容保存为:

当我尝试将此代码呈现到发送给用户的电子邮件中时。完整的内容很好,但是

这被省略,所有文本都显示为内联。

这是我使用的代码

这是电子邮件中的屏幕截图

在此处输入图像描述

0 投票
3 回答
3128 浏览

python - django 模板呈现“<bound method..”而不是上下文变量

我有一个模板 ' cart_summary.html' 当我显示为另一个模板上的包含时,它呈现得很好{% include 'cart/cart_summary.html' %}

但是,当我直接从视图函数(由 ajax 调用)呈现它时,我的上下文变量不会按预期呈现:

我的 cart_summary.html 模板 -

这是我要返回浏览器的东西-

我需要做什么才能获得正确呈现的字符串?

0 投票
2 回答
200 浏览

html-table - 将样式插入到 html 表格中

我将旧的 html 标记存储在我的数据库中,跟踪更改,然后尝试使用Differ:html格式选项呈现差异。

成功生成以下代码:

注意<del><ins>标记的元素。

如果我查看源代码,它看起来不错。

但是因为显然这会破坏表格布局,所有浏览器似乎都将这些新元素移动到表格之前。当我检查元素时,我得到以下信息:

我尝试编写一个自定义 Rails 视图助手来替换每个<ins><del><span>但同样的事情发生了。

有没有办法像我尝试做的那样使用元素来设置表格的样式,还是我必须走 dom 并<td>使用 javascript 将样式应用于每个适当的样式?一开始我无法替换表格,因为我不控制来源。

0 投票
1 回答
940 浏览

ruby-on-rails-3 - 在rails中形成一个html_safe字符串

让我产生我 "<a href=\"&lt;p&gt;hello&lt;/p&gt;\">hi</a>" 不想要转义的输出。如何获取 html_safe 字符串?

0 投票
7 回答
25799 浏览

ruby-on-rails - 如何从字符串中删除 HTML 标记

假设我有:

我想以两种方式在我的应用程序的不同部分使用它:

  • 带有可点击的链接
  • 没有可点击链接(但不显示任何 HTML 标记)

第一个可以使用html_safe

它是一个字符串

我怎样才能实现第二个?

它是一个字符串。