ruby 为什么Rubocop不允许html_safe或raw()Rails

zvms9eto  于 2022-11-04  发布在  Ruby
关注(0)|答案(2)|浏览(135)

这是我的代码谁不通过Rubocop,因为:
导轨/输出安全:将字符串标记为html安全可能会带来安全风险。

def number_with_html_delimiter(num)
   number_with_delimiter(num)
      .gsub!(' ', content_tag(:span, "", class: "numbers-delimiter")).html_safe
end

我需要把一些css的自定义跨度把空间在HTML和当我删除html_safe它不工作。
请帮忙,先谢了

ruby

2条答案

按热度按时间
gcuhipw9

gcuhipw91#

html_saferaw()在安全性方面是不安全的。您可以在使用html_safe(或raw)方法的程式码前后使用# rubocop:disable Rails/OutputSafety# rubocop:enable Rails/OutputSafety,以停用html_safe(或raw)的rubocop


# rubocop:disable Rails/OutputSafety

def number_with_html_delimiter(num)
   number_with_delimiter(num)
      .gsub!(' ', content_tag(:span, "", class: "numbers-delimiter")).html_safe
end

# rubocop:enable Rails/OutputSafety
赞(0)分享  回复(0)举报  2022-11-04
gojuced7

gojuced72#

对于Rails文档的常见标记和属性,建议使用sanitize
在帮助器中:


# Use `!` to indicate that `sanitize` should be used

def number_with_html_delimiter!(num)
   number_with_delimiter(num)
      .gsub(' ', content_tag(:span, "", class: "numbers-delimiter")).html_safe
end

在您看来:

<%= sanitize number_with_html_delimiter!(1000) %>
赞(0)分享  回复(0)举报  2022-11-04
我来回答

相关问题

    查看更多

    热门标签

    更多
    JavaquerypythonNode开发语言requestUtil数据库Table后端算法LoggerMessageElementParser

    最新问答

    更多
    • 蜀ICP备2022004421号-2 NULL123 https://www.null123.com © All rights reserved
    • 本站内容来源互联网,如果侵犯您的权益请联系我们删除, 联系方式:448109455@qq.com