問題タブ [html-safe]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
ruby-on-rails-3 - Rails 3 で HTML エスケープを強制する
レールの自動エスケープで問題が発生しています。現在、文字列は html_safe (そうです) であると考えられていますが、表示目的で html をエスケープする必要があります。文字列が取っている手順は次のとおりです。
パーシャルは基本的に
私の理解では、テキストをビュー (h2 など) に直接表示しているため、安全であると想定されており、アイテムの出力も適切にエスケープされるため、my_string 全体が安全になります。だから、私はそれを表示しようとすると
残りの html はエスケープしません。h を追加してエスケープを強制しようとしましたが、うまくいきませんでした。
だから私の質問は、安全ではない文字列で何かを呼び出す以外に、安全な文字列のhtmlエスケープを強制する方法はありますか?
どうもありがとうございました。
ruby-on-rails - Rails 3 - ユーザーが生成したコメントコンテンツの html_safe の代替?
ユーザーが生成したコメント コンテンツに対する html_safe メソッドは、明らかに良い解決策ではありません。ただし、これは、これまでのところ、次の機能を実装するために思いついた唯一の解決策でした: ユーザーが別のコメントの反復 ID をコメントフォームに入力するだけで、別のコメントを引用できるようにしたかったのです。"#14 」 (その記事のコメント 14 を引用する)。次に、この #14 はコンテンツ出力で「[quoted_comment.content]」に置き換えられます。
これは、コメント モデルでの私のコードです。
次に、コメント ビューで、comment.content_with_quotes.html_safe を使用して適用すると、すべて正常に動作します。
したがって、これは私が望んでいるものであり、機能しますが、もちろん、この html_safe メソッドは、html セーフではない可能性があるため、ユーザーが送信したコンテンツには適していません。
html_safe メソッドを実行せずに私の機能にアプローチする方法について何か提案はありますか?
ruby-on-rails - Rails 3: ユーザーに基本的な HTML タグの使用を許可する
私のサイト全体で、ユーザーはコメントを残すことができます。太字、斜体、リンク タグなどの基本的な HTML をコメントに挿入できるようにしてほしい。残念ながら、Rails はユーザーが生成したすべての HTML を自動的にエスケープします。
.html_safe を呼び出すことでこの動作を回避できますが、そうするとサイトが XSS に対して脆弱なままになります。太字、斜体、リンクのタグを許可し、他のコンテンツをエスケープする方法はありますか?
ruby-on-rails-3 - Rails3送信タグ+html_safe
このコード行の何が問題になっていますか?
これは文字通り以下を生成します:
明らかに、私のhtml_safe呼び出しは何もしていません。
バックグラウンド:
私はTwitterBootstrapとFontAwesomeを使用しており、基本的に、内部にアイコンが付いた送信ボタンを実現しようとしています。
ruby-on-rails - データベースのテキスト列フィールドからhtmlをレンダリングする方法は?
タイプTEXTのwelcome_emilとしてデータベースに列があります。
として列に保存された次のコードコンテンツを保存しました:
このコードをユーザーに送信される電子メールにレンダリングしようとすると。完全なコンテンツは問題ありませんが、
これは省略され、すべてのテキストがインラインで表示されます。
これが私が使用するコードです
これは、電子メールでどのように見えるかのスクリーンショットです
python - django テンプレートは、コンテキスト変数の代わりに "<bound method.." をレンダリングします
テンプレート ' ' を持っていますが、cart_summary.htmlこれは別のテンプレートにインクルードとして表示されたときに正常に表示されます{% include 'cart/cart_summary.html' %}。
ただし、ビュー関数 (ajax によって呼び出される) から直接レンダリングすると、コンテキスト変数が期待どおりにレンダリングされません。
私の cart_summary.html テンプレート -
そして、これはブラウザに返されるようなものです-
適切にレンダリングされた文字列を取得するにはどうすればよいですか?
html-table - スタイルを HTML テーブルに挿入する
データベースに古い html マークアップを保存し、変更を追跡してから、Differと:htmlformat オプションを使用して差分をレンダリングしようとしています。
次のコードが正常に生成されます。
<del>および<ins>タグ付きの要素に注意してください。
ソースを表示すると、問題ないように見えます。
しかし、これは明らかにテーブルのレイアウトを乱すため、すべてのブラウザーはこれらの新しい要素をテーブルの前に移動するようです。要素を検査すると、次のようになります。
カスタム Rails ビュー ヘルパーを作成して、それぞれ<ins>と<del>を に置き換えてみました<span>が、同じことが起こります。
私がやろうとしているような要素を使用してテーブルのスタイルを設定する方法はありますか、それとも dom を歩き回り、<td>javascript を使用して適切なスタイルをそれぞれに適用する必要がありますか? ソースを制御していないため、最初にテーブルを置き換えることはできません。
ruby-on-rails-3 - Railsでhtml_safe文字列を形成する
"<a href=\"<p>hello</p>\">hi</a>"
エスケープされた出力は必要ありません。
html_safe 文字列を取得するには?
ruby-on-rails - 文字列から HTML マークアップを削除する方法
私が持っているとしましょう:
アプリケーションのさまざまな部分で、次の 2 つの方法で使用したいと考えています。
- クリック可能なリンクで
- クリック可能なリンクなし (ただし、HTML マークアップは表示されません)
最初のものは、次を使用して実行できますhtml_safe。
文字列です
どうすれば2番目のものを達成できますか?
文字列です。