我想在我的rails应用程序中添加 Tiny MCE ,因此每个用户都可以使用此工具添加帖子和样式文本,如果我允许这样做会有危险,因为当我向用户显示时发布它有必要使用这样的东西
<%= post.content.html_safe %>
答案 0 :(得分:0)
我知道这是一个老问题,但我想如果有人在寻找答案,我会回答。在显示用户添加的内容时使用html_safe(或raw)并不总是一个好主意,因为它会让你容易受到攻击(如果我们假设你的用户并非都是好人;))但是有一个名为sanitize的rails帮助程序( http://api.rubyonrails.org/classes/ActionView/Helpers/SanitizeHelper.html#method-i-sanitize)它可以满足您的需求,并且可以使用来自tinymce编辑器的输入。你可以像这样使用它:
<%= sanitize post.content %>