我正在使用Rails的content_tag
助手构建一段HTML代码。我现在面临的挑战是将数组中的HTML字符串与content_tag
生成的HTML元素连接起来。
RuboCop Rails/OutputSafety参考。
例如:
options = ["<li>Three</li>", "<li>Four</li>", "<li>Five</li>"]
# This is code to generate blocks of HTML
out = []
out << content_tag(:ul,
content_tag(:li, "One") +
content_tag(:li, "Two") +
options.join(''),
:class => ["class_1", "class_2"])
safe_join(out)
# Expect result should be like
<ul class="class_1 class_2">
<li>One</li>
<li>Two</li>
<li>Three</li>
<li>Four</li>
<li>Five</li>
</ul>
# Actual result
<ul class="class_1 class_2">
<li>One</li>
<li>Two</li>
"<li>Three</li><li>Four</li><li>Five</li>"
</ul>
但是,如果我像下面这样使用html_safe方法,它将会工作。
%{<ul>
<li>One</li>
<li>Two</li>
#{options.join('')}
</ul>
}.html_safe
对我应该改变什么有什么建议吗?
# New apporach
options = ["Three", "Four", "Five"]
out = []
out << content_tag(:ul,
content_tag(:li, "One") +
content_tag(:li, "Two") +
options.collect do |option|
content_tag(:li, "#{option[0]}")
end.join(""),
:class => ["class_1", "class_2"])
safe_join(out)
# New approach result
<ul class="class_1 class_2">
<li>One</li>
<li>Two</li>
"<li>Three</li><li>Four</li><li>Five</li>"
</ul>
发布于 2017-09-06 04:10:01
问题是,您正在将输出与来自options
数组的不安全字符串连接在一起。这是唯一应该使用html_safe
方法以确保整个输出安全的地方:
out << content_tag(:ul,
content_tag(:li, "One") +
content_tag(:li, "Two") +
options.join('').html_safe,
:class => ["class_1", "class_2"])
编辑
首先,safe_join
方法不像html_safe
方法那样工作,它不仅使连接的字符串成为html_safe。如果连接的字符串不是html_safe,它还会使html转义,以避免有害内容。
https://apidock.com/rails/ActionView/Helpers/OutputSafetyHelper/safe_join
在本例中,safe_join
方法根本不对out
数组中的字符串做任何操作,因为它们已经被html_safe了。
result = content_tag(:ul,
content_tag(:li, "One") +
content_tag(:li, "Two") +
options.join(''),
:class => ["class_1", "class_2"])
result.html_safe? # => true
问题的原因是你连接了一个安全的字符串和一个不安全的字符串:
content_tag(:li, "Two") + options.join('')
content_tag(:li, "Two").html_safe? # => true
options.join('').html_safe? # => false
当时options.join('')
是html,因为它不安全,所以逃脱了。请参见示例:
# html tags in the second string are escaped, since it is not safe
"<li>One</li>".html_safe + "<li>Two</li>" # => "<li>One</li><li>Two</li>"
# nothing has been escaped, since everything is safe
"<li>One</li>".html_safe + "<li>Two</li>".html_safe # => "<li>One</li><li>Two</li>"
因此,为了获得预期的结果,必须满足两个条件:
safe_join
方法必须接受html_safe字符串数组。如果它们不是html_safe,则所有html标记都将被转义。如您所见,您没有满足第二个条件。
关于新方法的建议
即使数组包含安全字符串,.join("")
方法也会使结果字符串不安全。使用safe_join
content_tag(:li, "One") +
content_tag(:li, "Two") +
safe_join(
options.collect do |option|
content_tag(:li, option)
end
)
https://stackoverflow.com/questions/46062056
复制相似问题