rails : comment encoder/échapper une chaîne en html ? existe-t-il un intégré ?

Question

Yay, c'est l'heure des questions idiotes.

J'ai donc une chaîne non fiable que je veux simplement afficher comme texte dans une page html. Tout ce que j'ai besoin de faire est d'échapper les caractères ' < et & ' en tant qu'entités html.

Moins il y a d'histoires, mieux c'est. J'utilise utf8 et je n'ai pas besoin d'autres entités puantes pour les lettres accentuées et ainsi de suite.

Y a-t-il quelque chose d'intégré dans ruby ou rails, ou dois-je créer le mien ?

Answer 1

Découvrez le Ruby CGI classe. Il existe des méthodes pour coder et décoder le HTML ainsi que les URLs.

CGI::escapeHTML('Usage: foo "bar" <baz>')
# => "Usage: foo &quot;bar&quot; &lt;baz&gt;"

Answer 2

Le site h méthode d'aide !

<%=h "<p> will be preserved" %>

Answer 3

Dans Ruby on Rails 3

html seront échappés par défaut.

pour les chaînes non échappatoires, utilisez

<%= raw "<p>hello world!</p>" %>

Answer 4

ERB::Util.html_escape

peut être utilisé de n'importe où. disponible sans exiger de rails.

Answer 5

Vous pouvez utiliser soit h() o html_escape() mais la plupart des gens utilisent h() par convention. h() est le diminutif de html_escape() dans les rails.

Dans votre contrôleur :

@stuff = "<b>Hello World!</b>"

A votre avis :

<%=h @stuff %>

Si vous visualisez la source HTML, vous verrez la sortie sans mettre les données en caractères gras. C'est-à-dire qu'il est codé comme <b>Hello World!</b> .

Il apparaîtra et sera affiché comme <b>Hello World!</b>