56
जब मैं एक डिफ़ॉल्ट पाड़ उत्पन्न, show.html.erb पर प्रदर्शन टैग"<% = h [...]%>" में "एच" का अर्थ क्या है?
<%=h @broker.name %>
मैं <% और <%= बीच का अंतर जानना है। "एच" क्या है?
A
उत्तर
89
एचटीएमएल से बच। यह एक तरीका है जो < और> संख्यात्मक चरित्र संदर्भों में परिवर्तित करता है ताकि प्रतिपादन आपके एचटीएमएल को तोड़ न सके।
14
<%=h वास्तव में 2 चीजें हो रही हैं। आप एक एआरबी टैग (<%=) खोल रहे हैं और सभी प्रतीकों से बचने के लिए रेल विधि h पर कॉल कर रहे हैं।
इन दो कॉल के बराबर हैं:
<%=h person.first_name %>
<%= h(person.first_name) %>
h विधि आमतौर पर HTML और उपयोगकर्ता के इनपुट रूपों से जावास्क्रिप्ट बचने के लिए प्रयोग किया जाता है।
+0
मुझे <% = भाग मिलता है लेकिन इस उदाहरण में एच() की आवश्यकता क्यों है ... मुझे पता है कि एच विधि का उपयोग एचटीएमएल और जावास्क्रिप्ट से उपयोगकर्ता इनपुट फॉर्म से बचने के लिए किया जाता है लेकिन 1) क्या आप बस इतना नहीं कह सकते <% = person.first_name%>? यदि नहीं, क्यों नहीं ... यानी, एच() को हल करने में क्या विशिष्ट समस्या है? यानी, अगर आप एच() विधि को कॉल नहीं करते हैं तो आपको क्या मिलेगा। – user2101068
12
hERB::Util कक्षा से html_escape के लिए एक विधि उपनाम है।
6
यदि आप धातु में हैं और कुछ HTML से बचना चाहते हैं तो HTML Rack::Utils.escape_html से बचने के लिए रैक में एक विधि भी है।
1
पार्टी के लिए देर हो चुकी है, लेकिन मैं html_escape पर एक और स्पष्टीकरण जोड़ रहा हूं कि उम्मीद है कि अन्य नोबों की मदद करने के लिए क्या हो रहा है, जो समझ रहा है कि क्या हो रहा है। रेल 3 और बाद में स्वचालित रूप से सभी आउटपुट से बच निकलते हैं और इसलिए बहुत कम स्थितियां हैं जहां html_escape उर्फ h() की आवश्यकता होगी। जिसमें सबसे उल्लेखनीय है जब आप जब एक प्रस्तुतकर्ता वर्ग आदि में एचटीएमएल के साथ लिंक के निर्माण के उदाहरण के लिए html_safe विधि का उपयोग करना चाहते हैं:
#some_view.html.erb
<span><%= @user.name %></span> #This is 100% fine and will be automatically escaped by Rails 3+
#Output => <span>Brian Kunzig</span>
#Now say we want a link with html that we need preserved! OMG WHAT ARE DO??
<%=link_to "<span><i class='fa fa-user'></i>#{@user.name}</span>".html_safe #DANGER!!!
ऊपर दिए लिंक पर गंभीर समस्याओं का कारण और के सभी प्रकार के लिए आप खोल सकते हैं xss (क्रॉस-साइट स्क्रिप्टिंग) हमले। सबसे सरल उदाहरण, यदि उपयोगकर्ता ने अपना नाम "<script>alert('omg');</script>" के रूप में सहेजा है और आपने html_safe पर इसका उपयोग किया है, तो यह किसी भी पेज को 'ओमग' कहकर अलर्ट प्राप्त करने के लिए उनके अनुमानित नाम को प्रस्तुत करेगा! यह एक बड़ी समस्या है। इस से बचने के लिए करते हैं:
<%=link_to "<span><i class='fa fa-user'></i>#{h(@user.name)}</span>".html_safe #Winning!
एक उपयोगकर्ता हम homefree रहे द्वारा आपूर्ति की संभावित दागी डेटा से बचने के द्वारा!
0
एच html_escape के लिए बस उपनाम है। यह एक उपयोगिता विधि है जो आम तौर पर उपयोगकर्ता इनपुट फ़ॉर्म से एचटीएमएल और जावास्क्रिप्ट से बचने के लिए उपयोग की जाती है। यह विशेष गुणों को संख्यात्मक चरित्र संदर्भों में परिवर्तित करता है ताकि प्रतिपादन आपके एचटीएमएल को तोड़ न सके।
उदाहरण
<%= h "<p>Hello World</p>" %>
इच्छा उत्पादन
<p>Hello World</p>
देखने पर पाठ के रूप में होने के लिए, पैरा लागू नहीं किया जाएगा। इसे
<p>Hello World</p>.
संबंधित मुद्दे
- 1. 'एच' प्रत्यय का क्या अर्थ है?
- 2. <%=h ... %> रेल में क्या मतलब है?
- 3. जावा में <?> टोकन का अर्थ क्या है?
- 4. जावा में मानचित्र <?, ?> का अर्थ क्या है?
- 5. एचटीएमएल <एच: संदेश />
- 6. जावास्क्रिप्ट में ">>" और "<<" का क्या अर्थ है?
- 7. "<<" and ">>" का अर्थ cout/cin के लिए C++ में क्या है?
- 8. "=>" का क्या अर्थ है?
- 9. "->" का क्या अर्थ है?
- 10. '=>' का क्या अर्थ है?
- 11. स्कैला में "<:" का क्या अर्थ है?
- 12. वीएस -2008 <winsock2.h>
- 13. विधि <ClassName> का अर्थ क्या है?
- 14. एएसपी.नेट: '#' <% %> से शुरू करने का क्या अर्थ है?
- 15. टेम्पलेट <unsigned int N> का अर्थ क्या है?
- 16. <fd-35> का अर्थ विमगोल्फ पर क्या है?
- 17. सीएसएस में ">" का क्या अर्थ है?
- 18. जावास्क्रिप्ट में '>>>' का क्या अर्थ है?
- 19. Intellisense में LINQ विधियों पर कोण ब्रैकेट का क्या अर्थ है? (<>, गणना <>, अलग <>, आदि)
- 20. <script> विंडो का अर्थ क्या है ["_ GOOG_TRANS_EXT_VER"] = "1";</script>
- 21. <a href="#">Click here</a> का क्या अर्थ है?
- 22. रुबी में i.to_s का अर्थ क्या है?</p> <pre><code>i.to_s </code></pre> <p>ऊपर कोड <code>i</code> में एक पूर्णांक है:
- 23. जेएसएफ <एच: आउटपुटफॉर्मैट>: पैरामीटर
- 24. रेल में "वर्ग << स्वयं" का अर्थ क्या है?
- 25. रूबी में "<< -" का अर्थ क्या है?
- 26. खोल में "<<(cmd args)" का अर्थ क्या है?
- 27. स्केल/लिफ्ट में -> _ => का क्या अर्थ है?
- 28. नियमित अभिव्यक्ति (? <! -) का अर्थ क्या है
- 29. [ऑब्जेक्ट ऑब्जेक्ट] का क्या अर्थ है?</p> <pre><code>[object Object] </code></pre> <p>क्या यह वास्तव में क्या मतलब है: (जावास्क्रिप्ट)
- 30. जावा- <टी का अर्थ तुलनात्मक <T>> का विस्तार करता है?
और रेल 3 में एन्कोड किया जाएगा इसलिए इसकी आवश्यकता नहीं होगी। – lulalala
@ लुलालाला क्या आप अपने दावे का बैकअप लेने के लिए एक लिंक प्रदान कर सकते हैं कि यह स्वचालित रूप से रेल 3 (और 4) में किया जाता है? – bfcoder
@bfcoder, यह सभी मौजूदा रेल गाइड और दस्तावेजों में है। किसी भी स्ट्रिंग जो एक सुरक्षितबफर उदाहरण में नहीं है, एक दृश्य में एचटीएमएल से बच निकलेगा, यद्यपि आप अभी भी अन्य एस्केपिंग विधियों (जैसे जेसन, आदि) को कॉल कर सकते हैं यदि आपको उनकी आवश्यकता हो। मुझे लगता है कि यह स्पष्टीकरण उचित रूप से पूर्ण है: http://makandracards.com/makandra/2579-everything-you-now-about-html_safe-is-wrong – JasonTrue