Html code im text_field

Hi,

Ich habe einige Eingabefelder und dort kann man html tags eingeben.
Also wenn ich nun

Test

eingebe wird mir das in html in der
indexliste und im show so ausgegeben.
Wie kann ich das vermeiden? Kann ich das schon bei der eingabe so
vermeiden?

Für die Ausgabe habe ich schon gefunden, dass man das h verwenden soll
–> <%=h name_des_Feldes %> Das funktioniert auch so weit nur ich habe
sehr viele links dabei und wenn ich das vor ein link_to gebe --> <%=h
link_to …%> dann bekomme ich ein -->


Wie kann ich das ändern?

Hallo Rene,

das ist ganz einfach:
Statt:
<%=h link_to …%>

sagst du <%= link_to h(mein_text_mit_html), ziel %>
Du willst ja nur die html tags im label entschaerfen, nicht aber das
html des link tags selbst.

  • Johannes

2008/7/25 Rene P. [email protected]:

Hallo,

auch nett:

http://howflow.com/tricks/rails_automatisch_alle_html_tags_aus_benutzereingaben_entfernen_lassen

Ich würde auf Nummer Sicher gehen und natürlich beides einsetzen. “h”
und obigen Trick.

Andreas

SUOER danke genau das habe ich gesucht.

Johannes Fahrenkrug wrote:

Hallo Rene,

das ist ganz einfach:
Statt:
<%=h link_to …%>

sagst du <%= link_to h(mein_text_mit_html), ziel %>
Du willst ja nur die html tags im label entschaerfen, nicht aber das
html des link tags selbst.

  • Johannes

2008/7/25 Rene P. [email protected]:

Sven J. wrote:

Alternativ könnte man auch sowas wie das “xss_terminate”-Plugin
benutzen. Das gibt Dir verschiedene Möglichkeiten an die Hand wie Du bei
Usereingaben auf HTML-Inhalte reagieren willst. Komplett rausfiltern,
bestimmte Tags erlauben, etc.pp.

Dann kann man sich z.B. in den Views das h(…) sparen und muss sich
generell weniger Gedanken wegen z.B. XSS machen (wie der Name des
Plugins ja schon vermuten lässt g).

Hier noch der Link zu github:
http://github.com/jasherai/xss_terminate/tree/master

Gruß
Sven

Am Freitag, den 25.07.2008, 10:00 +0200 schrieb Rene P.:

danke.
ich habs mal mit h() gemacht aber ich werde mir das mal ganz genau
anschauen.
In einigen bereichen ist html ja ganz gut.
weil texte ohne
kommt nut in einer langen wurst und das sieht ja
auch nicht gut aus.

Alternativ könnte man auch sowas wie das “xss_terminate”-Plugin
benutzen. Das gibt Dir verschiedene Möglichkeiten an die Hand wie Du bei
Usereingaben auf HTML-Inhalte reagieren willst. Komplett rausfiltern,
bestimmte Tags erlauben, etc.pp.

Dann kann man sich z.B. in den Views das h(…) sparen und muss sich
generell weniger Gedanken wegen z.B. XSS machen (wie der Name des
Plugins ja schon vermuten lässt g).

Hier noch der Link zu github:
http://github.com/jasherai/xss_terminate/tree/master

Gruß
Sven

Am Freitag, den 25.07.2008, 10:00 +0200 schrieb Rene P.:

Am 25.07.2008 um 15:21 schrieb Rene P.:

In einigen bereichen ist html ja ganz gut.
weil texte ohne
kommt nut in einer langen wurst und das sieht ja
auch nicht gut aus.
Schau dir mal die Funktionen auto_link und simple_format in
active_support an. Die zusammen mit einem h() reichen für ganz
einfache Formatierungen schon fast aus.

Niko._______________________________________________
rubyonrails-ug mailing list
[email protected]
http://mailman.headflash.com/mailman/listinfo/rubyonrails-ug

Niko D. wrote:

Am 25.07.2008 um 15:21 schrieb Rene P.:

In einigen bereichen ist html ja ganz gut.
weil texte ohne
kommt nut in einer langen wurst und das sieht ja
auch nicht gut aus.
Schau dir mal die Funktionen auto_link und simple_format in
active_support an. Die zusammen mit einem h() reichen f�r ganz
einfache Formatierungen schon fast aus.

Niko._______________________________________________
rubyonrails-ug mailing list
[email protected]
http://mailman.headflash.com/mailman/listinfo/rubyonrails-ug

super danke werde ich mir gleich anschauen.

This forum is not affiliated to the Ruby language, Ruby on Rails framework, nor any Ruby applications discussed here.

| Privacy Policy | Terms of Service | Remote Ruby Jobs