跳至内容 跳至搜索

Action View Sanitize Helpers

SanitizeHelper 模块提供了一组用于清除文本中不需要的 HTML 元素的方法。这些辅助方法扩展了 Action View,使其可以在模板文件中调用。

方法
S

实例公共方法

sanitize(html, options = {})

清理 HTML 输入,只保留已知的安全标签和属性。

它还删除了带有不安全协议(如 javascript:)的 href / src 属性,同时还能防止使用 Unicode、ASCII 和十六进制字符引用绕过这些协议过滤器。

默认的清理程序是 Rails::HTML5::SafeListSanitizer。有关更多信息,请参阅 Rails HTML Sanitizers

还可以提供自定义清理规则。

请注意,清理用户提供的文本并不能保证生成的标记是有效的,甚至格式良好的。

选项

:tags

允许的标签数组。

:attributes

允许的属性数组。

:scrubber

一个 Rails::HTML 清理程序Loofah::Scrubber 对象,用于定义自定义清理规则。自定义清理程序优先于自定义标签和属性。

示例

正常使用
<%= sanitize @comment.body %>
提供自定义的允许标签和属性列表
<%= sanitize @comment.body, tags: %w(strong em a), attributes: %w(href) %>
提供自定义的 Rails::HTML 清理程序
class CommentScrubber < Rails::HTML::PermitScrubber
  def initialize
    super
    self.tags = %w( form script comment blockquote )
    self.attributes = %w( style )
  end

  def skip_node?(node)
    node.text?
  end
end


<%= sanitize @comment.body, scrubber: CommentScrubber.new %>

有关 Rails::HTML 清理程序的文档,请参阅 Rails HTML Sanitizer

提供自定义的 Loofah::Scrubber
scrubber = Loofah::Scrubber.new do |node|
  node.remove if node.name == 'script'
end


<%= sanitize @comment.body, scrubber: scrubber %>

有关定义自定义 Loofah::Scrubber 对象的更多信息,请参阅 Loofah 的文档

全局配置

要设置整个应用程序的默认允许标签或属性

# In config/application.rb
config.action_view.sanitized_allowed_tags = ['strong', 'em', 'a']
config.action_view.sanitized_allowed_attributes = ['href', 'title']

从 Rails 7.1 开始,默认情况下使用 HTML5 解析器进行清理(如果可用,请参阅下面的注意)。如果您希望恢复到以前的 HTML4 行为,可以在应用程序配置中设置以下内容

# In config/application.rb
config.action_view.sanitizer_vendor = Rails::HTML4::Sanitizer

或者,如果您要从 Rails 的早期版本升级,并且希望选择使用 HTML5 行为

# In config/application.rb
config.action_view.sanitizer_vendor = Rails::HTML5::Sanitizer

注意:Rails::HTML5::Sanitizer 在 JRuby 上不受支持,因此在 JRuby 平台上,Rails 将回退到使用 Rails::HTML4::Sanitizer

来源:显示 | 在 GitHub 上

# File actionview/lib/action_view/helpers/sanitize_helper.rb, line 111
def sanitize(html, options = {})
  self.class.safe_list_sanitizer.sanitize(html, options)&.html_safe
end

sanitize_css(style)

清理一段 CSS 代码。当遇到 style 属性时,sanitize 会使用此方法。

来源:显示 | 在 GitHub 上

# File actionview/lib/action_view/helpers/sanitize_helper.rb, line 116
def sanitize_css(style)
  self.class.safe_list_sanitizer.sanitize_css(style)
end

html 中删除所有链接标签,只保留链接文本。

strip_links('<a href="http://www.rubyonrails.org">Ruby on Rails</a>')
# => Ruby on Rails

strip_links('Please e-mail me at <a href="mailto:[email protected]">[email protected]</a>.')
# => Please e-mail me at [email protected].

strip_links('Blog: <a href="http://www.myblog.com/" class="nav" target=\"_blank\">Visit</a>.')
# => Blog: Visit.

strip_links('<<a href="https://example.org">malformed & link</a>')
# => &lt;malformed &amp; link

来源:显示 | 在 GitHub 上

strip_tags(html)

html 中删除所有 HTML 标签,包括注释和特殊字符。

strip_tags("Strip <i>these</i> tags!")
# => Strip these tags!

strip_tags("<b>Bold</b> no more!  <a href='more.html'>See more here</a>...")
# => Bold no more!  See more here...

strip_tags("<div id='top-bar'>Welcome to my website!</div>")
# => Welcome to my website!

strip_tags("> A quote from Smith & Wesson")
# => &gt; A quote from Smith &amp; Wesson

来源:显示 | 在 GitHub 上

# File actionview/lib/action_view/helpers/sanitize_helper.rb, line 133
def strip_tags(html)
  self.class.full_sanitizer.sanitize(html)&.html_safe
end