我刚刚以Post
模型的形式实施了http://xing.github.com/wysihtml5/:
_form.html.erb:
<div class="field">
<%= render 'shared/toolbar' %>
<%= f.text_area :content, id: "wysihtml5-textarea", placeHolder: "Content" %>
</div>
show.html.erb:
<span class="post-content">
<%= @post.content %>
</span>
显示所见即所得编辑器结果的最佳和最安全的方法是什么?
(现在输出看起来像这样):
text <i>editor</i> <b>test</b> text <u>editor</u> test text editor test
(不确定我是否需要太多安全性,因为它只有<i><b><u>
个标签。在这种情况下,我应该只使用raw
还是escape
?)
答案 0 :(得分:1)
答案 1 :(得分:0)
我这样做:
<%= raw @post.content %>
但你相信你的用户吗?因为他们也可以插入HTML(我从演示中看到),我会说不是。