那些遇到过的问题

rails-在ruby代码中将HTML元素环绕在link_to()的文本周围,而不禁用所有转义

zwo*_*wol 5 xss ruby-on-rails ruby-on-rails-5

这是非常基本的,但是我在Rails文档中找不到任何运气。有一个视图帮助器方法(Ruby代码,不是 HAML)返回

link_to(user_controlled_text, destination, options)
Run Code Online (Sandbox Code Playgroud)

并且我需要将HTML元素(即<bdi>)包装在周围user_controlled_text。如果我做

link_to("<bdi>#{user_controlled_text}</bdi>", ...)
Run Code Online (Sandbox Code Playgroud)

那么我的元素将被视为要转义的用户控制文本的一部分。很公平。我该如何告诉Rails不要逃避<bdi>并且</bdi>仍然逃避user_controlled_text

max*_*max 3

使用content_tag

link_to(content_tag(:bdi, user_controlled_text), destination)

# or with a block
link_to(destination) do
  content_tag(:bdi, user_controlled_text)
end
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

79 次

最近记录:

8 年,3 月 前
相关归档
Rails&Devise:如何在没有布局的情况下呈现登录页面? 54
如何在我的Gemfile中找到未使用的gem 33
如何将localhost:3000添加到Facebook App进行开发 28
你通常如何在Rails中对项目进行排序? 27
在Rails中使用Boolean进行sort_by 27
在nil对象上使用strftime - 如何防止错误? 18
使用rails来使用Web服务/ apis 15
form_for和form_tag之间的区别? 12
为什么我在运行rake cucumber时得到"警告:已初始化的常量JSON :: VERSION"? 10
在websocket握手期间Rails ActionCable错误 6
难疑归档
如何从当前的Git工作树中删除本地(未跟踪)文件? 6561
如何在Git中更改多个提交的作者和提交者名称以及电子邮件? 2282
如何将多行中的文本连接成SQL Server中的单个文本字符串? 1813
StringBuilder和StringBuffer之间的区别 1510
每位程序员应阅读的最具影响力的单一书籍是什么? 1439
Apache Camel究竟是什么? 1310
丢弃Git中的本地提交 1304
获取实例的类名? 1303
选择每个GROUP BY组中的第一行? 1205
如何检查对象是否在JavaScript中有密钥? 1047