文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
社区首页 >问答首页 >替代html_safe的safe_join和content_tag方法

替代html_safe的safe_join和content_tag方法
EN

Stack Overflow用户
提问于 2017-09-06 03:28:05
回答 1查看 4.1K关注 0票数 4

我正在使用Rails的content_tag助手构建一段HTML代码。我现在面临的挑战是将数组中的HTML字符串与content_tag生成的HTML元素连接起来。

RuboCop Rails/OutputSafety参考。

例如:

代码语言:javascript
复制
options = ["<li>Three</li>", "<li>Four</li>", "<li>Five</li>"]

# This is code to generate blocks of HTML
out = []
out << content_tag(:ul,  
   content_tag(:li, "One") + 
   content_tag(:li, "Two") + 
   options.join(''),
:class => ["class_1", "class_2"])
safe_join(out)

# Expect result should be like
<ul class="class_1 class_2">
   <li>One</li>
   <li>Two</li>
   <li>Three</li>
   <li>Four</li>
   <li>Five</li>
</ul>

# Actual result
<ul class="class_1 class_2">
   <li>One</li>
   <li>Two</li>
   "<li>Three</li><li>Four</li><li>Five</li>"
</ul>

但是,如果我像下面这样使用html_safe方法,它将会工作。

代码语言:javascript
复制
%{<ul>
   <li>One</li>
   <li>Two</li>
   #{options.join('')}
 </ul>
}.html_safe

对我应该改变什么有什么建议吗?

代码语言:javascript
复制
# New apporach
options = ["Three", "Four", "Five"]
out = []
out << content_tag(:ul,  
   content_tag(:li, "One") + 
   content_tag(:li, "Two") + 
   options.collect do |option|
      content_tag(:li, "#{option[0]}")
   end.join(""),
:class => ["class_1", "class_2"])
safe_join(out)

# New approach result
<ul class="class_1 class_2">
   <li>One</li>
   <li>Two</li>
   "<li>Three</li><li>Four</li><li>Five</li>"
</ul>
ruby-on-rails
rubocop
EN

回答 1

Stack Overflow用户

回答已采纳

发布于 2017-09-06 04:10:01

问题是,您正在将输出与来自options数组的不安全字符串连接在一起。这是唯一应该使用html_safe方法以确保整个输出安全的地方:

代码语言:javascript
复制
out << content_tag(:ul,  
   content_tag(:li, "One") + 
   content_tag(:li, "Two") + 
   options.join('').html_safe,
:class => ["class_1", "class_2"])

编辑

首先,safe_join方法不像html_safe方法那样工作,它不仅使连接的字符串成为html_safe。如果连接的字符串不是html_safe,它还会使html转义,以避免有害内容。

https://apidock.com/rails/ActionView/Helpers/OutputSafetyHelper/safe_join

在本例中,safe_join方法根本不对out数组中的字符串做任何操作,因为它们已经被html_safe了。

代码语言:javascript
复制
result = content_tag(:ul,  
           content_tag(:li, "One") + 
           content_tag(:li, "Two") + 
           options.join(''),
           :class => ["class_1", "class_2"])

result.html_safe? # => true

问题的原因是你连接了一个安全的字符串和一个不安全的字符串:

代码语言:javascript
复制
content_tag(:li, "Two") + options.join('')

content_tag(:li, "Two").html_safe? # => true
options.join('').html_safe?        # => false

当时options.join('')是html,因为它不安全,所以逃脱了。请参见示例:

代码语言:javascript
复制
# html tags in the second string are escaped, since it is not safe
"<li>One</li>".html_safe + "<li>Two</li>" # => "<li>One</li>&lt;li&gt;Two&lt;/li&gt;"

# nothing has been escaped, since everything is safe
"<li>One</li>".html_safe + "<li>Two</li>".html_safe # => "<li>One</li><li>Two</li>"

因此,为了获得预期的结果,必须满足两个条件:

  1. safe_join方法必须接受html_safe字符串数组。如果它们不是html_safe,则所有html标记都将被转义。
  2. 不要将安全字符串与不安全字符串连接在一起,否则不安全字符串将被转义。

如您所见,您没有满足第二个条件。

关于新方法的建议

即使数组包含安全字符串,.join("")方法也会使结果字符串不安全。使用safe_join

代码语言:javascript
复制
   content_tag(:li, "One") + 
   content_tag(:li, "Two") + 
   safe_join(
     options.collect do |option|
       content_tag(:li, option)
     end
   )
票数 6
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/46062056

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档