那些遇到过的问题

Rails 3:用户输入转义在视图和邮件程序中的工作方式不同

Wil*_*nes 5 xss ruby-on-rails actionmailer actionview ruby-on-rails-3

我在我的视图和邮件中使用以下代码集:

<%= simple_format(auto_link(h(user_input))) %>
Run Code Online (Sandbox Code Playgroud)

我首先在user_input上调用html_safe(h),以逃避任何危险的代码.然后我调用auto_link来启用其输入中的任何链接,然后我调用simple_format来启用换行符等.

这在我的视图中完美运行,并正确显示以下内容,完全转义,但有一个工作链接:

" http://google.com "
Run Code Online (Sandbox Code Playgroud)

但是,当ActionMailer电子邮件中显示完全相同时,我看到所有特殊字符,包括我的自动链接,双重转义(&amp;quot;例如,结果无法正确显示):

&amp;quot; &lt;a href=3D&quot;http://google.com&quot;&gt;http://google.=com&lt;/a&gt; &amp;quot;
Run Code Online (Sandbox Code Playgroud)

出于某种原因,我需要再次将其重新标记为html_safe以使其正常工作:

<%= simple_format(auto_link(h(user_input))).html_safe %>
Run Code Online (Sandbox Code Playgroud)

这正确输出:

&quot; <a href=3D"http://google.com">http://google.com</a> &quot;
Run Code Online (Sandbox Code Playgroud)

有关为什么ActionView和ActionMailer以不同方式处理相同代码的任何想法?

Bar*_*uzz 6

如果从电子邮件模板中调用simple_format(以呈现换行符),您获得的行为非常不寻常,并且事实证明这个帮助程序被私有方法覆盖.

无论如何,您可以使用此hack访问电子邮件模板中的simple_format:

ApplicationController.helpers.simple_format()
Run Code Online (Sandbox Code Playgroud)

希望在另一个rails版本中,这将被修复.

归档时间:

查看次数:

908 次

最近记录:

14 年,4 月 前
相关归档
Rails ActiveSuppport:关注和私有方法 22
使用Rails环境测试带Rspec的Rake任务 20
如何在使用门卫的oauth提供商上为我的用户预先授权客户端应用程序? 15
无法启动独角兽,高手未能启动,请查看stderr日志以获取详细信息 15
如何在Ruby on Rails中分析请求? 11
如何在Rails 5.2中复制存储在ActiveStorage中的文件 11
Gem libxml-ruby(1.1.4)安装但在运行时失败 8
如何在Rails中的ActiveRecord回调中获取Devise的current_user? 6
使用LEFT JOIN提高性能 5
我怎么能以更高效的方式编写这段代码? 5
难疑归档
是否可以将CSS应用于角色的一半? 2717
在jQuery中添加表行 2331
CSS三角形如何工作? 1791
轻松获取最新的git子模块 1748
如何在Git中完全替换另一个分支中的master分支? 1549
<meta charset ="utf-8"> vs <meta http-equiv ="Content-Type"> 1499
用于更新和删除的HTTP状态代码? 1264
如何完全卸载Node.js,并从头开始重新安装(Mac OS X) 1196
如何禁用UITableView选择? 1176
如何撤消'git reset'? 1172