[英]What does <%=h … %> means in Rails?
它用於轉義標簽的輸出以避免跨站點腳本編寫。 在rails 3中,它已更改為字符串的默認值(因此,您不必說逃避此字符串,而是說這是一個安全的字符串)。
h是Rails中html_escape方法的別名。
如果您不使用h來轉義文本,則有人可以在其中編寫javascript,並且在呈現頁面時它將被執行。
因此,如果不確定所顯示的數據絕對安全,請通過可轉義HTML標記字符的過濾器運行該數據。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.