这是我的代码谁不通过Rubocop,因为:
导轨/输出安全:将字符串标记为html安全可能会带来安全风险。
def number_with_html_delimiter(num)
number_with_delimiter(num)
.gsub!(' ', content_tag(:span, "", class: "numbers-delimiter")).html_safe
end
我需要把一些css的自定义跨度把空间在HTML和当我删除html_safe它不工作。
请帮忙,先谢了
2条答案
按热度按时间gcuhipw91#
html_safe
和raw()
在安全性方面是不安全的。您可以在使用html_safe
(或raw
)方法的程式码前后使用# rubocop:disable Rails/OutputSafety
和# rubocop:enable Rails/OutputSafety
,以停用html_safe
(或raw
)的rubocop
。gojuced72#
对于Rails文档的常见标记和属性,建议使用
sanitize
。在帮助器中:
在您看来: