问题标签 [html-safe]

我遇到了rails自动转义的问题。它目前认为一个字符串是 html_safe （它是），但出于显示目的，我仍然需要它来转义 html。这是字符串正在采取的步骤。

部分基本上是

我的理解是，因为我直接在视图中显示文本（h2 等），所以它假定它是安全的，并且它也正确地转义了项目输出，这使得整个 my_string 安全。所以，当我尝试用

它不会转义剩余的 html。我尝试添加 h 来强制转义，但这没有用。

所以我的问题是，除了在字符串上调用会使其不安全的东西之外，是否有强制 html 转义安全字符串的方法？

非常感谢你的帮助。

显然，对用户生成的评论内容使用 html_safe 方法确实不是一个好的解决方案。然而，到目前为止，这是我能想出的实现以下功能的唯一解决方案：我想让用户能够引用另一个评论，只需在评论表单中输入另一个评论的迭代 id，就像这样“#14 "（引用那篇文章的评论 14）。然后这个 #14在内容输出中被替换为“[quoted_comment.content]” 。

这是我在评论模型中的代码：

然后在我的评论视图中，我将它与 comment.content_with_quotes.html_safe 一起应用，一切正常。

所以，这就是我想要的，它可以工作，但当然，这个 html_safe 方法对于用户提交的内容来说是个坏主意，因为它可能不是 html 安全的。
关于如何在不使用 html_safe 方法的情况下使用我的功能的任何建议？

在我的网站上，用户可以发表评论。我希望他们能够在他们的评论中插入基本的 HTML，包括粗体、斜体和链接标签。不幸的是，Rails 会自动转义所有用户生成的 HTML。

我可以通过调用 .html_safe 来绕过这种行为，但这样我的网站就容易受到 XSS 的攻击。有没有办法允许粗体、斜体和链接标签，同时仍然转义其他内容？

这行代码有什么问题？

这实际上产生：

显然我的 html_safe 调用没有做任何事情。

背景：

我正在使用Twitter Bootstrap和Font Awesome，我实际上是在尝试实现一个带有图标的提交按钮。