原来在Rails2.0时代,它是默认允许用户输入html标签的,
有时候为了系统安全我们还要特意加上String h 例如<%= h some_thing %>去阻止系统解析可运行标签。
通过查看Rails的API发现,通过加入String raw可以允许系统执行html标签,例如<%= raw(some_thing) %>这种方
另外在Rails中还有一种叫白名单的东西,方式是<%= (some_thing).html_safe %>来运行系统执行html标签。这种方
丨Elliot 博主文章分类:Ruby On Rails
原来在Rails2.0时代,它是默认允许用户输入html标签的,
有时候为了系统安全我们还要特意加上String h 例如<%= h some_thing %>去阻止系统解析可运行标签。
举报文章
请选择举报类型
补充说明
0/200
上传截图
格式支持JPEG/PNG/JPG,图片不超过1.9M