Rails 5 - 如何在 rails 中从字符串中剥离标签（NOT in/for html）-解网

问：

在保存到数据库之前，我需要从用户输入中剥离标签

我很清楚strip_tags方法，但它也有 html 转义字符串，以及所有其他推荐的方法：

Rails::Html::FullSanitizer.new.sanitize '&'
 => "&amp;" 
Rails::Html::WhiteListSanitizer.new.sanitize('&', tags: [])
 => "&amp;" 
ActionController::Base.helpers.strip_tags "&"
 => "&amp;"

我要清理的字符串不是要转义的，它通过 API 导出，用于文件等，它不仅通过 HTML 输出（在这种情况下也是如此 - link_to 是双重转义字符串，所以你会在前端获得链接）link_to ActionController::Base.helpers.strip_tags("&")&

作为一个猴子补丁，我已经strip_tags包裹起来以获得或多或少的预期结果，但想找到一些直接的解决方案（我也担心还能strip_tags做什么，而且这个小功能有太多的活动部件 - 更多的东西可能会出错或损坏）CGI.unescapeHTML

真实世界的例子：应该在删除标签后变成JPMorgan Chase & CoJPMorgan Chase & Co

test<script>alert('hacked!');</script>&test剥离标签后应成为test&test

还有字符串：

"test &#x3C;script&#x3E;alert(&#x27;hacked!&#x27;)&#x3C;/script&#x3E;"

应该还是

"test &#x3C;script&#x3E;alert(&#x27;hacked!&#x27;)&#x3C;/script&#x3E;"

剥离 HTML 后

使用我发现或提出的替代解决方案：

> Nokogiri::HTML("test &#x3C;script&#x3E;alert(&#x27;hacked!&#x27;)&#x3C;/script&#x3E;").text
 => "test <script>alert('hacked!')</script>"

> Loofah.fragment("test &#x3C;script&#x3E;alert(&#x27;hacked!&#x27;)&#x3C;/script&#x3E;").text(encode_special_chars: false)
 => "test <script>alert('hacked!')</script>"

所以他们也是不行的

Ruby-on-Rails 条带标签

@HandsomeJack 你的最终结果是什么？您是否正在防止 HTML 注入？或者您是从 HTML 中提取文本？似乎两者兼而有之。这些是不同的。如果两者兼而有之，请提取文本，然后转义可能潜伏在文本中的任何 HTML。但是，您应该在使用文本之前（而不是在保存文本时）已经对文本进行了转义;这样你就不会猜测它将如何使用。提取文本，将其存储在数据库中。然后你可以用它来做任何事情。然后在将任何文本放入 HTML 之前对其进行转义，不要以为它已经转义了。

上一个：有没有办法将 facet.grid 类型的条带标签添加到常规绘图中，以便 grid.extra 中聚合的绘图匹配？

下一个：如何在sanitize-html JavaScript中将<br />标签名称替换为空格？

Rails 5 - 如何在 rails 中从字符串中剥离标签（NOT in/for html）

Rails 5 - How to strip tags from string in rails (NOT in/for html)

评论

评论