Rails 3.0.2 Array # join HTML ¿Seguro?

que tienen una joya rieles que utiliza un fragmento como:Rails 3.0.2 Array # join HTML ¿Seguro?

components = [] 
components << label_for(attribute) 
components << ... 
components << text_field(attribute) 
return components.join

La gema funcionó bien en Rails 3.0.1, sin embargo, escapa (renderiza como texto en un navegador) todo el HTML después de la actualización a Rails 3.0.2 . ¿Qué estoy haciendo algo mal? Gracias.

Fuente

2010-11-16 Kevin Sylvestre

Como @ sj26 señala, o bien utilizar los carriles incorporada ayudante:

<%= safe_join(components) %>

O usar mi rails_join gema para hacer Array#join html-safe en cuenta, en cuyo caso su código original funcionará tal cual.

Fuente

2012-02-08 22:29:22

nb safe_join se agregó en rails 3.1 – robd

Las cadenas se escapan automáticamente de HTML en Rails3. Es necesario cambiar la última línea a:

return components.join.html_safe

alternativamente, si la edición de la joya es demasiado molestia que puede hacerlo desde el punto de vista:

<%= helper_name.html_safe %>

Fuente

2010-11-16 03:54:11

Gracias por la respuesta. No tuve problemas en Rails 3.0.1 con 'join' (utilizando el escape HTML más nuevo). ¿Alguna razón por la cual falla específicamente en Rails 3.0.2? Gracias. –

He creado una aplicación súper simple para probar su problema y descubrí que 3.0.1 se comporta para mí, como usted dice 3.0.2. Ambos escapan del html a menos que yo diga que no (lo hice usando el método "crudo" en mi ayudante) – jwarchol

Gracias JW y Adam. Acabo de hacer una prueba y estás en lo cierto. No estoy seguro de por qué mi gema estaba funcionando para la última media docena de versiones, pero esto soluciona mi problema. ¡Aclamaciones! –

String#join no es SafeBuffer sea conscientes.

String#html_safe marcas que su cadena ya tiene un escape de HTML, evitando que los usuarios introduzcan bits de HTML en sus páginas. Consulte this post por Yehuda Katz en SafeBuffer y por qué/cómo debe usarlos.

Si usted tiene una serie de String y SafeBuffer desea concatenar, asegúrese de que se le han acabado #html_safe sobre todos ellos, o #concat ellos en un SafeBuffer, así:

['<one>', '<p>two</p>'.html_safe].inject ''.html_safe, &:concat 
=> "&lt;one&gt;<p>two</p>"

rieles tiene un incorporado en ayuda llamada safe_join que hará esto por usted.

Fuente

2011-04-04 03:47:53 sj26

Esta es la mejor respuesta en mi opinión. Únete parece inherentemente inseguro. Solo una pregunta sobre el '' .html_safe. ¿Eso es solo en caso de que la primera cadena en la matriz no haya sido marcada como html_safe? Además, ¿cuál es la diferencia entre &: concat y: concat, este último parece funcionar igual para mí :) –

La respuesta más correcta ahora es usar ['safe_join (array)'] [http://apidock.com/ rails/ActionView/Helpers/OutputSafetyHelper/safe_join] que es 'Array # join' que entiende' SafeBuffer'. – sj26

http://makandra.com/notes/954-don-t-mix-array-join-and-string-html_safe

class Array 
    def html_safe_join(delimiter='') 
    ''.html_safe.tap do |str| 
     each_with_index do |element, i| 
     str << delimiter if i > 0 
     str << element 
     end 
    end 
    end 
end 
[safe_string, unsafe_string].html_safe_join(' ') 
# '<span>foo</span>&lt;span&t;bar&lt;/span&gt;'

Fuente

2011-10-14 13:29:53 grosser

¿qué tal las cotizaciones manuales?

<%= raw ['<div>', 'any', '</div>'].map{|val| h(val)}.join('<br />') %>

Fuente

2012-07-09 14:01:55 woto

Rails 3.0.2 Array # join HTML ¿Seguro?

Respuesta

Cuestiones relacionadas