रेल 3.0.2 ऐरे # एचटीएमएल सुरक्षित में शामिल हों?

Question

मैं एक रेल मणि की तरह एक टुकड़ा का उपयोग करता है:

components = [] 
components << label_for(attribute) 
components << ... 
components << text_field(attribute) 
return components.join 

मणि रेल 3.0.1 में ठीक काम किया, लेकिन यह निकल जाता 3.0.2 रेल के लिए अद्यतन करने के बाद (एक ब्राउज़र में पाठ के रूप में renders) सभी HTML । मैं कुछ गलत क्या कर रहा हूँ? धन्यवाद।

Answer 1

के रूप में @ sj26 बताते हैं, या तो का उपयोग रेल में निर्मित सहायक:

<%= safe_join(components) %> 

या मेरी rails_join मणि का उपयोग Array#join एचटीएमएल सुरक्षित जागरूक बनाना, जिस स्थिति में आपका मूल कोड इस तरह काम करेगा।

Answer 2

स्ट्रिंग स्वचालित रूप से HTML- से बच निकले हैं।

return components.join.html_safe 

बारी-बारी से, अगर संपादन मणि बहुत ज्यादा परेशानी आप देखने से यह कर सकते हैं है:

<%= helper_name.html_safe %> 

Answer 3

String#join नहीं SafeBuffer -aware है आपको लगता है कि अंतिम पंक्ति को बदलने की जरूरत है।

String#html_safe अंक जो आप स्ट्रिंग करते हैं वह पहले से ही HTML-escaped है, जो उपयोगकर्ताओं को आपके पृष्ठों में HTML के बिट्स को छीनने से रोकता है। this postSafeBuffer पर येहुदा काट्ज़ द्वारा देखें और आपको उनका उपयोग क्यों करना चाहिए।

आप की String और SafeBuffer आप श्रेणीबद्ध करना चाहते हैं एक सरणी है, तो सुनिश्चित करें कि आप उन सब पर #html_safe दौड़े हैं #concat उन्हें एक SafeBuffer इसलिए की तरह बनाना, या:

['<one>', '<p>two</p>'.html_safe].inject ''.html_safe, &:concat 
=> "&lt;one&gt;<p>two</p>" 

रेल एक अंतर्निहित है सहायक में safe_join कहा जाता है जो आपके लिए यह करेगा।

Answer 4

http://makandra.com/notes/954-don-t-mix-array-join-and-string-html_safe

class Array 
    def html_safe_join(delimiter='') 
    ''.html_safe.tap do |str| 
     each_with_index do |element, i| 
     str << delimiter if i > 0 
     str << element 
     end 
    end 
    end 
end 
[safe_string, unsafe_string].html_safe_join(' ') 
# '<span>foo</span>&lt;span&t;bar&lt;/span&gt;' 

Answer 5

मैन्युअल उद्धरण के बारे में कैसे?

<%= raw ['<div>', 'any', '</div>'].map{|val| h(val)}.join('<br />') %>