Как HTML кодировать / экранировать строку? Есть ли встроенный?

у меня есть ненадежная строка, которую я хочу показать как текст на HTML-странице. Мне нужно сбежать от чаров<' и '& ' как объекты HTML. Чем меньше суеты, тем лучше.

Я использую UTF8 и не нуждаюсь в других сущностях для акцентированных букв.

есть ли встроенная функция в Ruby или Rails, или я должен свернуть свой собственный?

8 84
ruby-on-rails html encode escaping

8 ответов:

The h вспомогательный метод:

<%=h "<p> will be preserved" %>
81

проверка Рубин CGI класса. Существуют методы кодирования и декодирования HTML, а также URL-адресов.

CGI::escapeHTML('Usage: foo "bar" <baz>')
# => "Usage: foo &quot;bar&quot; &lt;baz&gt;"
125

в Ruby on Rails 3 HTML будет экранирован по умолчанию.

для неэкранированных строк используйте:

<%= raw "<p>hello world!</p>" %>
71

ERB:: Util.html_escape может использоваться в любом месте. Он доступен без использования require в рельсы.

23

дополнение к ответу Кристофера Брэдфорда, чтобы использовать HTML-экранирование в любом месте, так как большинство людей не используют CGI в настоящее время, вы можете также использовать Rack:

require 'rack/utils'
Rack::Utils.escape_html('Usage: foo "bar" <baz>')
14

можно использовать h() или html_escape(), но большинство людей используют h() по Конвенции. h() сокращенно html_escape() в рельсы.

в вашем контроллере:

@stuff = "<b>Hello World!</b>"

на ваш взгляд:

<%=h @stuff %>

если вы просматриваете источник HTML: вы увидите вывод без фактического выделения данных жирным шрифтом. Т. е. кодируется как &lt;b&gt;Hello World!&lt;/b&gt;.

он будет отображаться как <b>Hello World!</b>

13

сравнение различных методов:

> CGI::escapeHTML("quote ' double quotes \"")
=> "quote &#39; double quotes &quot;"

> Rack::Utils.escape_html("quote ' double quotes \"")
=> "quote &#x27; double quotes &quot;"

> ERB::Util.html_escape("quote ' double quotes \"")
=> "quote &#39; double quotes &quot;"

Я написал свой собственный, чтобы быть совместимым с Rails ActiveMailer escaping:

def escape_html(str)
  CGI.escapeHTML(str).gsub("&#39;", "'")
end
6

h() также полезно для экранирования кавычек.

например, у меня есть представление, которое генерирует ссылку с помощью текстового поля result[r].thtitle. Текст может содержать одинарные кавычки. Если бы я не сбежал result[r].thtitle в методе подтверждения Javascript сломается:

&lt;%= link_to_remote "#{result[r].thtitle}", :url=>{ :controller=>:resource,
:action         =>:delete_resourced,
:id     => result[r].id,
:th     => thread,                                                                                                      
:html       =>{:title=> "<= Remove"},                                                       
:confirm    => h("#{result[r].thtitle} will be removed"),                                                   
:method     => :delete %>

&lt;a href="#" onclick="if (confirm('docs: add column &amp;apos;dummy&amp;apos; will be removed')) { new Ajax.Request('/resource/delete_resourced/837?owner=386&amp;th=511', {asynchronous:true, evalScripts:true, method:'delete', parameters:'authenticity_token=' + encodeURIComponent('ou812')}); }; return false;" title="&lt;= Remove">docs: add column 'dummy'</a>

Примечание::html объявление заголовка волшебным образом ускользает по рельсам.

0