У меня есть ненадежная строка, которую я хочу показать как текст на странице HTML. Мне нужно избегать символов < 'и' & 'в качестве объектов HTML. Чем меньше суета, тем лучше.
Я использую UTF8 и не нуждаюсь в других объектах для букв с акцентом.
Есть ли встроенная функция в Ruby или Rails, или я должен рулон мой?
Вспомогательный метод h:
<%=h "<p> will be preserved" %>
Ознакомьтесь с классом Ruby CGI. Существуют методы для кодирования и декодирования HTML, а также URL-адресов.
CGI::escapeHTML('Usage: foo "bar" <baz>')
# => "Usage: foo "bar" <baz>"
В Ruby on Rails 3 HTML по умолчанию будет экранирован.
Для неэкранированных строк используйте:
<%= raw "<p>hello world!</p>" %>
ERB:: Util.html_escape можно использовать где угодно. Он доступен без использования require в Rails.
Вы можете использовать либо h(), либо html_escape(), но большинство людей используют h() по соглашению. h() сокращен для html_escape() в рельсах.
В вашем контроллере:
@stuff = "<b>Hello World!</b>"
На ваш взгляд:
<%=h @stuff %>
Если вы просмотрите источник HTML: вы увидите вывод без фактического смещения данных. То есть он закодирован как <b>Hello World!</b>.
Он появится как <b>Hello World!</b>
В дополнение к Кристоферу Брэдфорду ответ на использование HTML, выходящего в любом месте,
поскольку большинство людей не используют CGI в настоящее время, вы также можете использовать Rack:
require 'rack/utils'
Rack::Utils.escape_html('Usage: foo "bar" <baz>')
Сравнение разных методов:
> CGI::escapeHTML("quote ' double quotes \"")
=> "quote ' double quotes ""
> Rack::Utils.escape_html("quote ' double quotes \"")
=> "quote ' double quotes ""
> ERB::Util.html_escape("quote ' double quotes \"")
=> "quote ' double quotes ""
Я написал свой собственный для совместимости с Rails ActiveMailer:
def escape_html(str)
CGI.escapeHTML(str).gsub("'", "'")
end
h() также полезен для экранирования кавычек.
Например, у меня есть представление, которое создает ссылку, используя текстовое поле result[r].thtitle. Текст может включать одинарные кавычки. Если бы я не убежал result[r].thtitle в методе подтверждения, Javascript сломал бы:
<%= link_to_remote "#{result[r].thtitle}", :url=>{ :controller=>:resource,
:action =>:delete_resourced,
:id => result[r].id,
:th => thread,
:html =>{:title=> "<= Remove"},
:confirm => h("#{result[r].thtitle} will be removed"),
:method => :delete %>
<a href="#" onclick="if (confirm('docs: add column &apos;dummy&apos; will be removed')) { new Ajax.Request('/resource/delete_resourced/837?owner=386&th=511', {asynchronous:true, evalScripts:true, method:'delete', parameters:'authenticity_token=' + encodeURIComponent('ou812')}); }; return false;" title="<= Remove">docs: add column 'dummy'</a>
Примечание: объявление заголовка :html магически экранировано Rails.