投稿のタイトルを出力しているとしましょう。データベースでは、Hello Y’allを使用.html_safeせずに出力できますが、htmlで出力されないようにできますHello Y’allか?
つまり、ユーザーが活字で正しいアポストロフィを使用するワードプロセッサから投稿タイトルをコピーする&と、データベース内でをとしてエスケープしているため、ぎこちない出力が表示されます&。もちろん、正しいHTMLであるため、Bonnie & Clyde出力されるデータベースのタイトルが必要です...Bonnie & Clyde
これを行うための安全な方法はありますか?
ActionView :: Helpers::SanitizeHelperを使用する
<%= "Hello Y’all" %>
<%= sanitize "Hello Y’all" %>
生成されます:
Hello Y’all
Hello Y’all
これを行うには3つの方法があります。
1: "string".htmlsafe
2: <%= raw "string" %>
3. <%== "string" %>
引数を取るので<%= raw "string"%>を使用し、それに.to_sを適用してから、単にhtml_safeを適用する必要があると思います。したがって、2番目のオプションを使用しても安全です。
SafeBufferは、そうERB::Util.hでない文字列を呼び出すためhtml_safe、データベースに文字列を最初に保存するときに、のインスタンスをgsubオンにERB::Util.h(your_string)して置き換えることができます。そうすればあなたの弦は最初に消毒されます&[code]&[code];
必要な電話はERB::Util.h(your_string).gsub(/&(#x?[\da-fA-F]+;)/, '&\1')
次に、その特定の文字列を表示する必要があるときはいつでも、それを呼び出しますhtml_safe。
<%= raw "Y&#8217;all" %>または<%== "Y&#8217;all" %>2つの可能性があります。