Ruby on Rails: как отобразить строку в виде HTML?

Question

Ruby on Rails: как отобразить строку в виде HTML?

131

У меня

@str = "<b>Hi</b>"

и в моем представлении erb:

<%= @str %>

Что будет отображаться на странице: Hi, когда я действительно хочу, Hi. Какой рубиновый способ "интерпретировать" строку как разметку HTML?

Изменить: случай, когда

@str = "<span class=\"classname\">hello</span>"

Если, на мой взгляд, я

<%raw @str %>

Исходный код HTML hello</span > , где я действительно хочу hello (без обратных косых черт, которые избегали двойных кавычек). Какой лучший способ "unescape" эти двойные кавычки?

Tim 02 янв. 2011, в 01:43

Источник

0

Вы также можете использовать синтаксис% Q [] для экранирования строк. Например, %Q["quotation marks"] => "\"quotation marks\"" Источник: en.wikibooks.org/wiki/Ruby_Programming/Syntax/… Не знаю, поможет ли это.
0112 23 окт. 2014, в 21:23

Теги:

html

string

ruby-on-rails

ruby

9 ответов

15

Используйте raw:

<%=raw @str >

Но, как правильно говорит @jmort253, рассмотрите, где действительно принадлежит HTML.

Michael Stum 02 янв. 2011, в 05:10

0

Привет, это решение работает, за исключением одного предупреждения: см. Отредактированный вопрос
Tim 02 янв. 2011, в 03:36

11

Если вы находитесь на rails, который использует Erubis - самый крутой способ сделать это -

<%== @str >

Обратите внимание на знак двойного равенства. См. соответствующий вопрос о SO для получения дополнительной информации.

jibiel 08 дек. 2013, в 15:17

8

Вы также можете использовать simple_format(@str), который удаляет вредоносный код. Подробнее здесь: http://api.rubyonrails.org/classes/ActionView/Helpers/TextHelper.html#method-i-simple_format

bcackerman 13 март 2013, в 20:49

7

Вы смешиваете свою бизнес-логику с вашим контентом. Вместо этого я бы рекомендовал отправить данные на вашу страницу, а затем использовать что-то вроде JQuery для размещения данных, в которых вам это нужно.

Это имеет то преимущество, что вы сохраняете весь свой HTML-код на страницах HTML, где он принадлежит, поэтому ваши веб-дизайнеры могут впоследствии модифицировать HTML-код без необходимости заливать серверный код.

Или, если вы не хотите использовать JavaScript, вы можете попробовать следующее:

@str = "Hi"

<b><%= @str ></b>

По крайней мере, ваш HTML-код находится на странице HTML, где он принадлежит.

jmort253 02 янв. 2011, в 05:01

0

Проблема в том, что мое приложение берет файл с плохой разметкой и «переводит» его с помощью регулярных выражений в хорошую HTML-разметку для отправки в представление. Поэтому генерируемая HTML-разметка является динамической, поэтому я не могу априори узнать, какие теги должны окружать @str. Где бы я выполнял эту «переводческую» работу, если бы не модели? Я думал, что у нас не должно быть обширного логического кода в представлениях.
Tim 02 янв. 2011, в 03:22
1

Это действительно вопрос мнения. При разработке нового приложения я предпочитаю держать все как можно более чистым. Но часто мы должны работать в рамках того, что оставили нам другие. Если ваш источник данных возвращает разметку HTML, возможно, стоит взглянуть на использование «raw», как описано в решении Майкла Стума.
jmort253 02 янв. 2011, в 03:29
1

Если вы унаследовали поддержку какого-либо кода, и в коде есть области, которые плохо продумываются или имеют плохой дизайн, тогда вы действительно несете ответственность за его очистку, чтобы сделать его более понятным для сопровождения. Оставив его таким, каким вы его нашли, можно начинать с хорошего кода, но оставить его лучше, чем вы находили, хорошо, когда ему нужна работа. Частью моей работы является управление некоторыми устаревшими приложениями; Я фанат не чинить вещи, которые не сломаны, но они не могут быть легко улучшены из-за того, как они были написаны. Мне пришлось переписать большинство вызовов функций, но теперь с этим гораздо проще работать.
the Tin Man 02 янв. 2011, в 09:03
0

Вы не должны использовать JavaScript для своей HTML-интерполяции, если нет другой причины использовать JS. Это нарушит ваш сайт , не JS браузеры (да, есть некоторые).
Marnen Laibow-Koser 11 нояб. 2011, в 21:03
0

Html тоже принадлежит помощникам, и хорошо, иногда, в базе данных. Хотя я предпочитаю хранить уценку, а затем рендеринг в HTML.
Macario 28 июнь 2012, в 17:06
0

@Macario - Привет, я не уверен, что полностью понимаю ваш комментарий. Вы не возражаете против разработки? Спасибо!
jmort253 28 июнь 2012, в 17:39
0

Ну, иногда html генерируется вне шаблона во вспомогательной функции, и иногда его не нужно экранировать, хотя иногда, на мой взгляд, это плохая практика, а не красивая - он генерируется пользователем редактором WYSIWG и сохраняется в базе данных. поскольку html, а также его не нужно избегать, конечно же, его необходимо дезинфицировать, иначе могут произойти плохие вещи. Я предпочитаю язык шаблонов Markdown, чтобы пользователь мог вводить стилизованный контент. В этом случае вы не хотите, чтобы ваш контент был экранирован <%= str.html_safe %> .
Macario 28 июнь 2012, в 21:22
0

Разумеется, если вы разрешаете не экранированный контент, то вы должны обеспечить безоговорочную разметку.
Macario 28 июнь 2012, в 21:31

Показать ещё 6 комментариев

5

Или вы можете попробовать CGI.unescapeHTML.

CGI.unescapeHTML "&lt;p&gt;This is a Paragraph.&lt;/p&gt;"
=> "<p>This is a Paragraph.</p>"

Arman Ortega 06 июнь 2013, в 05:15

0

Версия html_safe хорошо работает в Rails 4...

<%= "<center style=\"color: green; font-size: 1.1em\" > Administrators only </center>".html_safe if current_user.admin? %
>

G. A. 27 окт. 2014, в 21:49

0

@str = "hello"Если, на мой взгляд, я делаю

<%raw @str %>Исходный код HTML hello, где я действительно хочу, это hello (без обратных косых черт, которые избегали двойных кавычек). Какой лучший способ "unescape" эти двойные кавычки?

Решение: используйте двойные кавычки внутри одиночных кавычек (или одиночные внутри двойника), чтобы избежать экранирования с обратной косой чертой.

@str = '<span class="classname">hello</span>'
<%raw @str %>

Crash 08 окт. 2013, в 16:46

0

так как вы переводите и выбирая свой желаемый код из файла crappy закодированного человека, можете ли вы использовать content_tag в сочетании с вашим регулярным выражением.

Крадуясь из api docs, вы можете интерполировать этот переведенный код на content_tag как:

<%= content_tag translated_tag_type.to_sym, :class => "#{translated_class}" do -%>
<%= translated_text %>
<% end -%>
# => <div class="strong">Hello world!</div>

Не зная ваш код, такое мышление будет гарантировать, что ваш переведенный код слишком уступчив.

pjammer 02 янв. 2011, в 05:40

0

Я предполагаю, что translation_text - это фактический контент внутри div, верно? т.е. в примере это будет "Hello world!"? Что если в Translate_text больше HTML, то есть вложенных элементов div или span? Должен ли я вызывать content_tag много раз?
Tim 02 янв. 2011, в 04:11
0

да, текст в теге будет translated_text .
pjammer 02 янв. 2011, в 14:58
0

и ... извините, нажмите enter рано ... каждый вложенный div / span внутри по-прежнему является тегом content_tag, и вам все равно нужно его проверить, правда? Так как мы не можем видеть, что вы делаете с вашим необычным переводом ;-), я бы предположил, что вы ищете ВСЕ теги, независимо от того, находится ли регулярное выражение в «родительском» html ..., например, <ul>. ты не стал бы печатать все лики как большую задницу, чтобы напечатать? у каждого будет свой content_tag: li, текст правильный?
pjammer 02 янв. 2011, в 15:00

Показать ещё 1 комментарий

Ещё вопросы

Вы также можете использовать синтаксис% Q [] для экранирования строк. Например, %Q["quotation marks"] => "\"quotation marks\"" Источник: en.wikibooks.org/wiki/Ruby_Programming/Syntax/… Не знаю, поможет ли это.
Привет, это решение работает, за исключением одного предупреждения: см. Отредактированный вопрос
Проблема в том, что мое приложение берет файл с плохой разметкой и «переводит» его с помощью регулярных выражений в хорошую HTML-разметку для отправки в представление. Поэтому генерируемая HTML-разметка является динамической, поэтому я не могу априори узнать, какие теги должны окружать @str. Где бы я выполнял эту «переводческую» работу, если бы не модели? Я думал, что у нас не должно быть обширного логического кода в представлениях.
Это действительно вопрос мнения. При разработке нового приложения я предпочитаю держать все как можно более чистым. Но часто мы должны работать в рамках того, что оставили нам другие. Если ваш источник данных возвращает разметку HTML, возможно, стоит взглянуть на использование «raw», как описано в решении Майкла Стума.
Если вы унаследовали поддержку какого-либо кода, и в коде есть области, которые плохо продумываются или имеют плохой дизайн, тогда вы действительно несете ответственность за его очистку, чтобы сделать его более понятным для сопровождения. Оставив его таким, каким вы его нашли, можно начинать с хорошего кода, но оставить его лучше, чем вы находили, хорошо, когда ему нужна работа. Частью моей работы является управление некоторыми устаревшими приложениями; Я фанат не чинить вещи, которые не сломаны, но они не могут быть легко улучшены из-за того, как они были написаны. Мне пришлось переписать большинство вызовов функций, но теперь с этим гораздо проще работать.
Вы не должны использовать JavaScript для своей HTML-интерполяции, если нет другой причины использовать JS. Это нарушит ваш сайт , не JS браузеры (да, есть некоторые).
Html тоже принадлежит помощникам, и хорошо, иногда, в базе данных. Хотя я предпочитаю хранить уценку, а затем рендеринг в HTML.
@Macario - Привет, я не уверен, что полностью понимаю ваш комментарий. Вы не возражаете против разработки? Спасибо!
Ну, иногда html генерируется вне шаблона во вспомогательной функции, и иногда его не нужно экранировать, хотя иногда, на мой взгляд, это плохая практика, а не красивая - он генерируется пользователем редактором WYSIWG и сохраняется в базе данных. поскольку html, а также его не нужно избегать, конечно же, его необходимо дезинфицировать, иначе могут произойти плохие вещи. Я предпочитаю язык шаблонов Markdown, чтобы пользователь мог вводить стилизованный контент. В этом случае вы не хотите, чтобы ваш контент был экранирован <%= str.html_safe %> .
Разумеется, если вы разрешаете не экранированный контент, то вы должны обеспечить безоговорочную разметку.
Я предполагаю, что translation_text - это фактический контент внутри div, верно? т.е. в примере это будет "Hello world!"? Что если в Translate_text больше HTML, то есть вложенных элементов div или span? Должен ли я вызывать content_tag много раз?
и ... извините, нажмите enter рано ... каждый вложенный div / span внутри по-прежнему является тегом content_tag, и вам все равно нужно его проверить, правда? Так как мы не можем видеть, что вы делаете с вашим необычным переводом ;-), я бы предположил, что вы ищете ВСЕ теги, независимо от того, находится ли регулярное выражение в «родительском» html ..., например, <ul>. ты не стал бы печатать все лики как большую задницу, чтобы напечатать? у каждого будет свой content_tag: li, текст правильный?

Jacob · Accepted Answer · 2011-01-02T15-19-00.000Z

Что происходит, так как в качестве меры безопасности Rails ускользает от вашей строки, потому что в ней может быть встроен вредоносный код. Но если вы сообщите Rails, что ваша строка html_safe, она пройдет через нее.

@str = "<b>Hi</b>".html_safe
<%= @str %>

ИЛИ

@str = "<b>Hi</b>"
<%= @str.html_safe %>

Использование raw отлично работает, но все, что он делает, - это преобразование строки в строку, а затем вызов html_safe. Когда я знаю, что у меня есть строка, я предпочитаю напрямую обращаться к html_safe, потому что он пропускает ненужный шаг и делает более понятным, что происходит. Подробности об экранировании строк и защите XSS находятся в this Asciicast.

Фантастика. Я не мог найти, как это сделать, даже после поиска в течение часа. Спасибо за Ваш ответ.
Я всегда использовал raw . Очень рад узнать об этом!
Отдавая благодарности из будущего =)
sanitize удаляется в соответствии со stackoverflow.com/questions/44575106/…