Question

упрощенный пример будет следующим:

def expand_links(message)
  message = strip_tags(message)
  message = message.gsub('[register]') { link_to('register', new_user_path) }
  message = message.gsub('[login]') { link_to('login', new_sessions_path) }
  message.html_safe
end

Я использую strip_tags, но, чтобы быть уверенным, у XSS нет шансов.

так, что было бы правильным способом сделать это без strip_tags и html_safe?

localhostdotdev · Answer 1 · 22 апреля 2019

вот что я сделал из предложения @ iceman :

  def expand_links(message)
    message = strip_tags(message)
    message = message.gsub('[register]') { link_to('register', new_user_path) }
    message = message.gsub('[login]') { link_to('login', new_sessions_path) }
    sanitize(message, tags: ['a'], attributes: ['href'])
  end

(BTW sanitize не работает с символами)

https://api.rubyonrails.org/classes/ActionView/Helpers/SanitizeHelper.html

Как избежать html_safe при использовании gsub для вставки ссылок?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как избежать html_safe при использовании gsub для вставки ссылок?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов