我有一个有模板字段的模型。此模板是HTML并具有可替换的变量。然后使用wicked_pdf将此模板转换为PDF。
我应该如何获取用户输入的模板并安全地进行变量替换?允许它成为一个ERB模板似乎正在为一些巨大的安全漏洞做好准备。那里有什么安全的解决方案?
编辑:
因此,例如,我有我的模板类/模型,它有两个字段,一个名称和一个HTML字段。这是一个用户可编辑的类。模板类中的HTML可以使用特定变量(公司名称,价格等)。我希望使用HTML模板系统,但由于这是用户创建的内容,因此不受信任。只会进行变量替换,仅此而已。
答案 0 :(得分:0)
Rails提供了几个辅助函数,即h
来转义显示的值以防止此类行为。
<%= h @ user.name%>
h
是html_escape