正是我不知道这些之间的区别。 我读这清洁和strip_tags导轨之间的区别
http://api.rubyonrails.org/classes/ActionView/Helpers/SanitizeHelper.html
,但没有得到确切的差异。 任何人都可以让我知道区别?
正是我不知道这些之间的区别。 我读这清洁和strip_tags导轨之间的区别
http://api.rubyonrails.org/classes/ActionView/Helpers/SanitizeHelper.html
,但没有得到确切的差异。 任何人都可以让我知道区别?
随着清理,你可以允许一些HTML标签或类,strip_tags不能。它做同样的事情。检查代码https://github.com/rails/rails/blob/76a0b1028e312b6c3c00a50b4a09d68c23b5e713/actionview/lib/action_view/helpers/sanitize_helper.rb#L80
sanitize
正在使用白名单清洁剂。 strip_tags
剥离所有标签。
比较:
[64] pry(main)> sanitize "hello <h1>h1</h1> <b>b</b>"
=> "hello <h1>h1</h1> <b>b</b>"
[65] pry(main)> strip_tags "hello <h1>h1</h1> <b>b</b>"
=> "hello h1 b"
如果你不提供任何白名单的标签,sanitize
默认允许下列标记。
[66] pry(main)> ActionView::Base.white_list_sanitizer.allowed_tags.to_a * ', '
=> "strong, em, b, i, p, code, pre, tt, samp, kbd, var, sub, sup,
dfn, cite, big, small, address, hr, br, div, span, h1, h2, h3,
h4, h5, h6, ul, ol, li, dl, dt, dd, abbr, acronym, a, img,
blockquote, del, ins"
如果您提供自己的白名单标签,则它们会覆盖默认标签。
[67] pry(main)> sanitize "hello <h1>h1</h1> <b>b</b>", tags: %w(b)
=> "hello h1 <b>b</b>"
sanitize
和strip_tags
的另一个区别是,sanitize
删除一些标签,特别是<script>
标记的内容(以之间的东西)。
比较:
[68] pry(main)> sanitize "a<script>alet('foo')</script>"
=> "a"
[69] pry(main)> strip_tags "a<script>alet('foo')</script>"
=> "aalet('foo')"
此外,sanitize
做HTML转义一些字符,但strip_tags
没有。
[70] pry(main)> sanitize "< &"
=> "< &"
[71] pry(main)> strip_tags "< &"
=> "< &"
另外,它们处理嵌套标签的方式不同。比较以下内容:
[73] pry(main)> sanitize "some<<b>script>alert('hello')<</b>/script>", tags: []
=> "some<script>alert('hello')</script>"
[74] pry(main)> strip_tags "some<<b>script>alert('hello')<</b>/script>"
=> "somealert('hello')"
那意味着strip_tags会删除所有东西? 并在'sanitize'有一个条款限制。 – 2014-11-05 14:20:51
是的,你有更多关于http://api.rubyonrails.org/的信息。 – 2014-11-05 14:31:09