问题标签 [html-safe]

示例：如果我们存储<script>alert(299792458)</script>为名字输入，则该值将被接受并存储。

当我们显示数据时，会弹出一个警报。我知道这是一个跨站点脚本 (XSS)。我已经浏览了http://guides.rubyonrails.org/security.html#cross-site-scripting-xss但我无法理解。

我需要做的就是确保警报不会发生。那么，最好的选择是什么。保存名字时对其进行清理（或）在显示时使用 html_safe。

I have a simple RSS feed for a website I'm trying to build. I want to do a read more link for posts and limit the output to 300 characters. My code looks like this:

For whatever reason the html tags are included when I create a post even though I'm doing html_safe. Any ideas? Thanks

我们正在构建一个聊天服务，人们可以在他们的代码中使用它。

在我们正在构建的工具中，我们制作了一个 Ruby gem，让人们可以快速将聊天窗口添加到他们的 Ruby Web 应用程序中。

不过，我们想创建一个特定于 Rails 的包装器，因为目前用户必须手动调用.html_safe.

如何在 Ruby gem 中使用这些特定于 Rails 的特性？我听说这可能被称为“Railsties”，但我无法找到任何关于这些以及如何使用它们的综合文档。

具体来说，我们希望：

• 调用html_safe一些字符串输出，这样用户就不必手动执行此操作。
• 将一些配置设置放在一个文件中，config/initializers/some_name.rb而不必内联指定这些。
• 可能会创建一个生成器，用户可以运行该生成器来自动填充此初始化程序。

我们如何使用这些功能？我们可以在 gem 中包含其他一些 gem 依赖项来访问这些功能吗？

我需要将 JSON 对象嵌入到 HTML 数据属性中。使用 Ruby to_json

生成正确的 JSON 字符串，但不会转义。所以我在我的 HTML 中得到了这个：

由于双引号没有被转义，上述内容无效。

ruby 中是否有与 JS JSON.stringify() 函数等效的函数？

我需要在我的数据属性中而不是在脚本标签中使用它。

我有一个要求，我需要在文本中制作可点击的链接，同时将任何其他 html 标签保留为文本（不是 html_safe）。这意味着我无法将整个文本设置为 html_safe，因为这将呈现其他 html 标记，并且我无法清理文本并删除其他 html 标记。我已经看到其他网站通过在自己的行上制作 html_safe 链接和其他文本来处理这个问题。检查 html 时如下所示。

在 Rails 4 中执行此操作的最佳方法是什么？