Hi, Ich habe einige Eingabefelder und dort kann man html tags eingeben. Also wenn ich nun <h1>Test</h1> eingebe wird mir das in html in der indexliste und im show so ausgegeben. Wie kann ich das vermeiden? Kann ich das schon bei der eingabe so vermeiden? Für die Ausgabe habe ich schon gefunden, dass man das h verwenden soll --> <%=h name_des_Feldes %> Das funktioniert auch so weit nur ich habe sehr viele links dabei und wenn ich das vor ein link_to gebe --> <%=h link_to ....%> dann bekomme ich ein --> <a href="/.../9"><h1>...</a> Wie kann ich das ändern?
on 25.07.2008 10:00
on 25.07.2008 10:14
Hallo Rene, das ist ganz einfach: Statt: <%=h link_to ....%> sagst du <%= link_to h(mein_text_mit_html), ziel %> Du willst ja nur die html tags im label entschaerfen, nicht aber das html des link tags selbst. - Johannes 2008/7/25 Rene P. <lists@ruby-forum.com>:
on 25.07.2008 10:21
Hallo, auch nett: http://howflow.com/tricks/rails_automatisch_alle_html_tags_aus_benutzereingaben_entfernen_lassen Ich würde auf Nummer Sicher gehen und natürlich beides einsetzen. "h" und obigen Trick. Andreas
on 25.07.2008 10:21
SUOER danke genau das habe ich gesucht. Johannes Fahrenkrug wrote: > Hallo Rene, > > das ist ganz einfach: > Statt: > <%=h link_to ....%> > > sagst du <%= link_to h(mein_text_mit_html), ziel %> > Du willst ja nur die html tags im label entschaerfen, nicht aber das > html des link tags selbst. > > - Johannes > > > 2008/7/25 Rene P. <lists@ruby-forum.com>:
on 25.07.2008 14:50
Alternativ könnte man auch sowas wie das "xss_terminate"-Plugin benutzen. Das gibt Dir verschiedene Möglichkeiten an die Hand wie Du bei Usereingaben auf HTML-Inhalte reagieren willst. Komplett rausfiltern, bestimmte Tags erlauben, etc.pp. Dann kann man sich z.B. in den Views das h(...) sparen und muss sich generell weniger Gedanken wegen z.B. XSS machen (wie der Name des Plugins ja schon vermuten lässt *g*). Hier noch der Link zu github: http://github.com/jasherai/xss_terminate/tree/master Gruß Sven Am Freitag, den 25.07.2008, 10:00 +0200 schrieb Rene P.:
on 25.07.2008 15:21
Sven Jansen wrote: > Alternativ könnte man auch sowas wie das "xss_terminate"-Plugin > benutzen. Das gibt Dir verschiedene Möglichkeiten an die Hand wie Du bei > Usereingaben auf HTML-Inhalte reagieren willst. Komplett rausfiltern, > bestimmte Tags erlauben, etc.pp. > > Dann kann man sich z.B. in den Views das h(...) sparen und muss sich > generell weniger Gedanken wegen z.B. XSS machen (wie der Name des > Plugins ja schon vermuten lässt *g*). > > Hier noch der Link zu github: > http://github.com/jasherai/xss_terminate/tree/master > > Gruß > Sven > > Am Freitag, den 25.07.2008, 10:00 +0200 schrieb Rene P.: danke. ich habs mal mit h() gemacht aber ich werde mir das mal ganz genau anschauen. In einigen bereichen ist html ja ganz gut. weil texte ohne <br> kommt nut in einer langen wurst und das sieht ja auch nicht gut aus.
on 25.07.2008 15:26
Am 25.07.2008 um 15:21 schrieb Rene P.: > In einigen bereichen ist html ja ganz gut. > weil texte ohne <br> kommt nut in einer langen wurst und das sieht ja > auch nicht gut aus. Schau dir mal die Funktionen auto_link und simple_format in active_support an. Die zusammen mit einem h() reichen für ganz einfache Formatierungen schon fast aus. Niko._______________________________________________ rubyonrails-ug mailing list rubyonrails-ug@headflash.com http://mailman.headflash.com/mailman/listinfo/rubyonrails-ug
on 28.07.2008 07:45
Niko Dittmann wrote: > Am 25.07.2008 um 15:21 schrieb Rene P.: >> In einigen bereichen ist html ja ganz gut. >> weil texte ohne <br> kommt nut in einer langen wurst und das sieht ja >> auch nicht gut aus. > Schau dir mal die Funktionen auto_link und simple_format in > active_support an. Die zusammen mit einem h() reichen f�r ganz > einfache Formatierungen schon fast aus. > > Niko._______________________________________________ > rubyonrails-ug mailing list > rubyonrails-ug@headflash.com > http://mailman.headflash.com/mailman/listinfo/rubyonrails-ug super danke werde ich mir gleich anschauen.