ROR中h()方法和sanitize的区别及Html Filter

 

通常来讲，一般使用input的field都会作一些filter的动做，避免被不怀好意之徒塞一些危险的HTML code（script等）进去搞破坏。在ROR中，咱们在前面加一个h()（通常不用括号？不容易看到？）便可，h在ROR中起什么做用呢？他是html_escape的alias（别名）,他会将全部的"<xx>"变成&lt；,&gt，好比:

js 代码

<script>alert('a');</script>

会变成：

    &lt;script&gt;alert('a');&lt;/script&gt;

这样就彻底作不了乱了。由于全部的tag都被搞掉了。这样太严格了，有时候咱们须要开放一些字体，颜色等tag给用户使用，用h()就不行了，正好ROR中还有个方法，sanitize()这个方法能够帮你实现这个愿望。ROR API中：

    Sanitizes the given HTML by making form and script tags into regular text, and removing all "onxxx" attributes (so that arbitrary Javascript cannot be executed). Also removes href attributes that start with "javascript:".        

        它会砍掉script这个tag，以及onXxxx之类的attribut，你没有机会执行javascript，可是你还能够塞一些div或iframe之类的tag让你的版面烂掉。
         因此咱们须要自定义一个html filter，能够自由的指定咱们放行的那些tag。网上发现了这个sanitize.rb，完美的帮咱们实现愿望。如何使用：

第一行：

ruby 代码

def sanitize( html, okTags='a href, b, br, i, p' )

okTags表明就是容许的tag，目前有a,b,br,i,p之类的tag，若是输入<iframe>xxx</iframe>之类的不容许的code，就会出现

xxx.不容许的结果都将被砍掉。若是想增长span,或font这样的tag，则能够：

ruby 代码

def sanitize( html, okTags='a href, b, br, i, p, span, font' )

a href之间没有用逗号隔开，是表明sanitize容许a这个tag使用href这个attribute，好比：

<a href=" [url]http://blackanger.javaeye.com[/url]" _fcksavedurl="http://lightyror.blogspot.com" target="_blank">Haha</a>

只会出现： <a href= [url]http://blackanger.javaeye.com[/url]>Haha</a>，只有href这个属性能够保留，其余的被无情的砍掉。当咱们输入这样的代码：

           <a href= [url]http://blackanger.javaeye.com[/url]>Haha

会自动帮你补齐tag：

           <a href= [url]http://blackanger.javaeye.com[/url]>Haha</a>