56
当我生成一个默认的脚手架上show.html.erb显示标签有“<%= h [...]%>”中的“h”是什么意思?
<%=h @broker.name %>
我知道<%和<%=之间的差异。什么是“h”呢?
A
回答
89
html escape。这是一种将<和>等内容转换为数字字符引用的方法,以便渲染不会破坏您的html。
14
<%=h实际上是两件事情发生。您打开erb标记(<%=)并调用Rails方法h来转义所有符号。
这两个调用是等效的:
<%=h person.first_name %>
<%= h(person.first_name) %>
的h方法通常用于转义从用户输入形式的HTML和Javascript。
12
h是来自ERB::Util类的html_escape的方法别名。
6
也有在机架的方法,以防逃跑HTML Rack::Utils.escape_html你在金属及想逃避一些HTML。
1
路迟到了,但我添加什么html_escape正在做,希望能够帮助其他菜鸟像我明白发生了什么进一步的解释。 Rails 3及更高版本现在会自动转义所有输出,因此需要html_escape又名h()的情况要少得多。最显着的,其中是当你打算建设有HTML链接时,在主持人类等。例如使用html_safe方法:
#some_view.html.erb
<span><%= @user.name %></span> #This is 100% fine and will be automatically escaped by Rails 3+
#Output => <span>Brian Kunzig</span>
#Now say we want a link with html that we need preserved! OMG WHAT ARE DO??
<%=link_to "<span><i class='fa fa-user'></i>#{@user.name}</span>".html_safe #DANGER!!!
上面的链接可能会导致严重的问题,打开你到各种各样的xss(跨站脚本)攻击。最简单的例子是,如果用户将他们的名字保存为"<script>alert('omg');</script>",并且您使用了html_safe,则它会导致任何页面呈现其假定的名称,以发出“omg”的警报!这是一个主要问题。为了避免这样做:
<%=link_to "<span><i class='fa fa-user'></i>#{h(@user.name)}</span>".html_safe #Winning!
通过转义用户提供的潜在污染数据,我们是免费的!
0
h只是html_escape的别名。它是通常用于从用户输入表单中转义html和javascript的实用方法。它将特殊字符转换为数字字符引用,以便渲染不会破坏您的html。
例如具有
<%= h "<p>Hello World</p>" %>
将输出
<p>Hello World</p>
为文本,以查看,段落将不会被应用。它将被编码为
<p>Hello World</p>.
相关问题
- 1. 'h'后缀是什么意思?
- 2. h = httplib2.Http('。cache')是什么意思?
- 3. 会员[H | T]是什么意思?
- 4. “D:,H :, V:”是什么意思在fbset?
- 5. 启发式h:{1,...,N} - > R是什么意思?
- 6. {< >}是什么意思?
- 7. <+>是什么意思?
- 8. <>是什么意思?
- 9. <>是什么意思?
- 10. .h文件中的@interface后的{}是什么意思?
- 11. <%=h ... %>在Rails中意味着什么?
- 12. 在GNU make中,$(@ :. h = .h.d)是什么意思?
- 13. 这是什么意思(计算中的<< and > >>)?
- 14. 什么是“整数<H>”? (类型错误:参数必须是整数<H>,不是int)
- 15. 原型JS源代码是什么意思? Array.from = $ A ... Hash.from = $ H;
- 16. python中的`<-`, `> -`,`<+`, `> +`是什么意思?
- 17. “<indentifier>预计”是什么意思?
- 18. <String,String>是什么意思?
- 19. 这是什么意思? <variable> ==“”
- 20. 符号<>是什么意思?
- 21. “<!DOCTYPE html>”是什么意思?
- 22. <[email protected]>是什么意思?
- 23. #include <crtdll/stddef.h>是什么意思?
- 24. class myClass <String>是什么意思?
- 25. numeric_limits <double> :: digits10是什么意思
- 26. 方法<ClassName>是什么意思?
- 27. ChannelFactory <T>(“*”)是什么意思?
- 28. “<>”运算符是什么意思?
- 29. FaultContract <T> - 这是什么意思?
- 30. ReactClass <*>是什么意思?
而在Rails 3中,这是自动完成的,因此不需要。 – lulalala 2012-04-09 05:46:15
@lulalala你可以提供一个链接来备份你的声明,这是在rails 3(和4)中自动完成的吗? – bfcoder 2014-12-24 18:20:25