0

モデルのフォームにhttp://xing.github.com/wysihtml5/を実装しました。Post

_form.html.erb:

 <div class="field">
    <%= render 'shared/toolbar' %>
    <%= f.text_area :content, id: "wysihtml5-textarea", placeHolder: "Content" %>
  </div>

show.html.erb:

  <span class="post-content">
    <%= @post.content %>
  </span>

wysiwyg エディタの結果を表示する最も安全な方法は何ですか?

(現在、出力は次のようになります):

text <i>editor</i> <b>test</b>&nbsp;text <u>editor</u> test&nbsp;text editor test

(タグしかないので、あまりセキュリティが必要かどうかはわかりません<i><b><u>。その場合、またはを使用する必要がありますrawescape?)

4

2 に答える 2

1

HTML挿入に注意!サニタイズジェムを見てみましょう

もちろん、サニタイズされた html を表示するには raw を使用します。

<%= raw @post.content %>

于 2012-10-21T12:09:53.400 に答える
0

私はこのようにします:

<%= raw @post.content %>

しかし、あなたはあなたのユーザーを信頼していますか?HTMLも挿入できるので(デモからわかるように)、挿入しないと思います。

于 2012-10-21T12:06:02.803 に答える