मान लीजिए कि मेरे पास निम्नलिखित स्ट्रिंग है
@x = "<a href='#'>Turn me into a link</a>"मेरे विचार में, मैं एक लिंक प्रदर्शित करना चाहता हूं। यही कारण है, मैं नहीं चाहता कि @x में सब कुछ एक स्ट्रिंग के रूप में प्रदर्शित किया जाए। उपयोग करने के बीच अंतर क्या है
<%= raw @x %>
<%= h @x %>
<%= @x.html_safe %>?
जवाबों:
रेल 3 को ध्यान में रखते हुए:
html_safeवास्तव में "स्ट्रिंग को HTML सुरक्षित" के रूप में सेट करता है (यह उससे थोड़ा अधिक जटिल है, लेकिन मूल रूप से यह है)। इस तरह, आप वसीयत में सहायकों या मॉडलों से HTML सुरक्षित तार वापस कर सकते हैं।
hएक नियंत्रक या दृश्य के भीतर से ही इस्तेमाल किया जा सकता है, क्योंकि यह एक सहायक से है। यह आउटपुट को भागने से मजबूर कर देगा। यह वास्तव में पदावनत नहीं है, लेकिन आप सबसे अधिक संभावना है कि अब इसका उपयोग नहीं करेंगे: एकमात्र उपयोग एक html_safeघोषणा को "वापस" करना है , बहुत ही असामान्य।
के साथ अपनी अभिव्यक्ति को प्रस्तुत rawकरना वास्तव में इसके to_sसाथ जंजीर बुलाने के बराबर है html_safe, लेकिन एक सहायक की तरह ही घोषित किया जाता है h, इसलिए इसका उपयोग केवल नियंत्रकों और विचारों पर किया जा सकता है।
" सेफबफर्स और रेल्स 3.0 " इस बात पर एक अच्छी व्याख्या है कि SafeBufferएस (वर्ग जो html_safeजादू करता है ) कैसे काम करता है।
hकभी भी पदावनत किया जाएगा। उपयोग करना "Hi<br/>#{h@ user.name}".html_safeकाफी सामान्य है और एक स्वीकृत उपयोग है।
rawऔर बीच में एक सूक्ष्म अंतर है html_safe: raw(nil)एक खाली स्ट्रिंग लौटाता है, जबकि nil.html_safeएक अपवाद फेंकता है।
hएक html_safe घोषणा को "वापस" नहीं करेगा। जब एक स्ट्रिंग है html_safe, hकुछ नहीं करेगा।
मुझे लगता है कि यह दोहराता है: आपके स्ट्रिंग से HTML-एस्केप नहींhtml_safe होता है । वास्तव में, यह आपके तार को बच निकलने से रोकेगा।
<%= "<script>alert('Hello!')</script>" %>रखूंगा:
<script>alert('Hello!')</script>आपके HTML स्रोत में (yay, so safe!), जबकि:
<%= "<script>alert('Hello!')</script>".html_safe %>चेतावनी संवाद को पॉप अप करेगा (क्या आप सुनिश्चित हैं कि आप क्या चाहते हैं?)। तो आप शायद html_safeकिसी भी उपयोगकर्ता-दर्ज स्ट्रिंग्स पर कॉल नहीं करना चाहते हैं।
html_safeहै नहीं बच न ही unescape। जबकि HTML को सुरक्षित नहीं के रूप में कुछ चिह्नित करने का अंतिम परिणाम है , और फिर ERB <% = टैग के निहित बचने का उपयोग करते हुए, डेटा को हटाने के समान हो सकता है और फिर इसे आउटपुट पर फिर से बच सकता है, कार्यात्मक रूप से यह न तो कर रहा है। की अंतर की तरह (6 * -1 * -1), बनाम 6.
अंतर रेल html_safe()और 'के बीच है raw()। इस पर येहुदा काटज़ द्वारा एक उत्कृष्ट पोस्ट है, और यह वास्तव में इस पर उबलता है:
def raw(stringish)
stringish.to_s.html_safe
endहाँ, raw()एक आवरण है जिसके चारों ओर html_safe()स्ट्रिंग को इनपुट मजबूर करता है और फिर उस html_safe()पर कॉल करता है। यह भी ऐसा मामला है जो raw()एक मॉड्यूल में सहायक है जबकि html_safe()स्ट्रिंग वर्ग पर एक विधि है जो एक नया ActiveSupport :: SafeBuffer उदाहरण बनाता है - जिसमें इसका एक @dirtyझंडा है।
" रेल्स html_safe बनाम रॉ " का संदर्भ लें ।
html_safe :
एक स्ट्रिंग को विश्वसनीय सुरक्षित के रूप में चिह्नित करता है। यह HTML में डाला जाएगा जिसमें कोई अतिरिक्त पलायन नहीं होगा।
"<a>Hello</a>".html_safe
#=> "<a>Hello</a>"
nil.html_safe
#=> NoMethodError: undefined method `html_safe' for nil:NilClassraw :
rawचारों ओर एक आवरण है html_safe। का प्रयोग करें rawअगर वहाँ संभावना है कि स्ट्रिंग होगा रहे हैं nil।
raw("<a>Hello</a>")
#=> "<a>Hello</a>"
raw(nil)
#=> ""h के लिए उर्फ html_escape :
HTML टैग वर्णों से बचने के लिए एक उपयोगिता विधि। किसी भी असुरक्षित सामग्री से बचने के लिए इस विधि का उपयोग करें।
रेल 3 और इसके बाद के संस्करण का उपयोग डिफ़ॉल्ट रूप से किया जाता है, इसलिए आपको इस पद्धति का स्पष्ट रूप से उपयोग करने की आवश्यकता नहीं है
सबसे अच्छा सुरक्षित तरीका है: <%= sanitize @x %>
इससे बचेंगे XSS!
सरल रेल की शर्तों में:
h HTML टैग को संख्या वर्णों में हटा दें ताकि रेंडरिंग आपके HTML को तोड़ न दे
html_safe स्ट्रिंग में एक बूलियन सेट करता है ताकि स्ट्रिंग को html सेव माना जाए
raw यह html_safe को स्ट्रिंग में कनवर्ट करता है
hहै html_safeजिसका मतलब है के रूप में है एचटीएमएल प्रदान की गई है,।
<%== @x %>जो कि<%= raw(@x) %>एजगाइड्स के