RHTML zeigt HTML-Tags auf Ausgabe an

Ich habe eine RHTML-Ansicht in Rails, wo die Ausgabe von meiner MongoDB-Sammlung kommt. Die Daten werden korrekt unter Verwendung eines Iterationsblocks ausgegeben, aber wenn ich versuche, HTML-Tags in meiner Datenbank zu haben, werden sie nicht in der HTML-Ausgabe wiedergegeben, sondern sie werden nur angezeigt.RHTML zeigt HTML-Tags auf Ausgabe an

<% 
@posts.find().each do |post| 
%> 
<h1><%=post["name"]%></h1> 
<p><%=post["body"] %></p> 
<p><%=post["timestamp"]%></p> 
<% 
end 
%>

Aber zum Beispiel, wenn ich in meiner Datenbank, würden die Tags gerendert, anstatt dass sie gedruckt

<p>Test</p>

hatte.

Quelle

2010-12-15 Scott Nicol

Sie sollten die 'finden() nicht brauchen' nach @posts –

wenn @posts a Sammelobjekt er tut –

Dies ist eine Sicherheitsvorkehrung, die jetzt in Rails 3 integriert ist. Es verhindert XSS (Cross-Site Scripting) Probleme.

Wenn Sie raw hinzufügen, erhalten Sie die gewünschte Ausgabe.

<% @posts.each do |post| %> 
<h1><%=raw post["name"]%></h1> 
<p><%=raw post["body"] %></p> 
<p><%=raw post["timestamp"]%></p> 
<% end %>

Wenn Sie jedoch vom Benutzer erstellten beliebigen HTML speichern, ich empfehlen Sie dies nicht tun, wenn Sie die Eingabe sind desinfizierende bevor sie in der Datenbank zu speichern.

Edit:

Eine weitere Option: Mit dem sanitize helper anstelle von raw, z.B. <%=sanitize post["name"], :tags => "p" %> erlauben <p> Tags.

Quelle

2010-12-15 13:22:05

Abgesehen von raw und .html_safe, die der Eingabe des Benutzers 100% vertrauen, können Sie auch sanitize verwenden, um nur eine bestimmte Anzahl von Tags einzuschränken.

<% = sanitize post [ "name"] Details $>

Denn siehe: http://api.rubyonrails.org/classes/ActionView/Helpers/SanitizeHelper.html

Quelle

2010-12-15 13:53:53 PeterWong

Guter Punkt über sanitize. +1 an Sie und ich habe meine Antwort aktualisiert. –

RHTML zeigt HTML-Tags auf Ausgabe an

Antwort

Verwandte Themen