it-roy-ru.com

Как HTML кодировать / экранировать строку? Есть ли встроенный?

У меня есть недоверенная строка, которую я хочу показать в виде текста на странице HTML. Мне нужно экранировать символы '<' и '&' как объекты HTML. Чем меньше суеты, тем лучше.

Я использую UTF8 и мне не нужны другие объекты для акцентированных букв.

Есть ли встроенная функция в Ruby или Rails, или я должен свернуть свою собственную?

89
kch

Вспомогательный метод h:

<%=h "<p> will be preserved" %>
86
Trevor Bramble

Оформить заказ Ruby CGI класс. Существуют методы для кодирования и декодирования HTML, а также URL-адресов.

CGI::escapeHTML('Usage: foo "bar" <baz>')
# => "Usage: foo &quot;bar&quot; &lt;baz&gt;"
134
Christopher Bradford

В Ruby on Rails 3 HTML будет экранирован по умолчанию.

Для неэкранированных строк используйте:

<%= raw "<p>hello world!</p>" %>
74
RSK

ERB :: Util.html_escape можно использовать где угодно. Он доступен без использования require в Rails.

25
Viktor Trón

В дополнение к ответу Кристофера Брэдфорда об использовании экранирования HTML в любом месте, поскольку в настоящее время большинство людей не используют CGI, вы также можете использовать Rack:

require 'rack/utils'
Rack::Utils.escape_html('Usage: foo "bar" <baz>')
15
J-_-L

Вы можете использовать h() или html_escape(), но большинство людей используют h() по соглашению. h() - это сокращение от html_escape() в Rails.

В вашем контроллере:

@stuff = "<b>Hello World!</b>"

По вашему мнению:

<%=h @stuff %>

Если вы просмотрите исходный HTML-код: вы увидите вывод, фактически не выделив данные. То есть он закодирован как &lt;b&gt;Hello World!&lt;/b&gt;.

Он будет отображаться как <b>Hello World!</b>

13
Brian R. Bondy

Сравнение разных методов:

> CGI::escapeHTML("quote ' double quotes \"")
=> "quote &#39; double quotes &quot;"

> Rack::Utils.escape_html("quote ' double quotes \"")
=> "quote &#x27; double quotes &quot;"

> ERB::Util.html_escape("quote ' double quotes \"")
=> "quote &#39; double quotes &quot;"

Я написал свой собственный, чтобы быть совместимым с Rails ActiveMailer, выходящим из:

def escape_html(str)
  CGI.escapeHTML(str).gsub("&#39;", "'")
end
8
Dorian

h() также полезна для экранирования кавычек.

Например, у меня есть представление, которое генерирует ссылку, используя текстовое поле result[r].thtitle. Текст может содержать одинарные кавычки. Если бы я не избежал result[r].thtitle в методе подтверждения, Javascript сломался бы:

&lt;%= link_to_remote "#{result[r].thtitle}", :url=>{ :controller=>:resource,
:action         =>:delete_resourced,
:id     => result[r].id,
:th     => thread,                                                                                                      
:html       =>{:title=> "<= Remove"},                                                       
:confirm    => h("#{result[r].thtitle} will be removed"),                                                   
:method     => :delete %>

&lt;a href="#" onclick="if (confirm('docs: add column &amp;apos;dummy&amp;apos; will be removed')) { new Ajax.Request('/resource/delete_resourced/837?owner=386&amp;th=511', {asynchronous:true, evalScripts:true, method:'delete', parameters:'authenticity_token=' + encodeURIComponent('ou812')}); }; return false;" title="&lt;= Remove">docs: add column 'dummy'</a>

Примечание: объявление заголовка :html магически экранировано Rails.

0
Noddinoff