タグ

関連タグで絞り込む (2)

タグの絞り込みを解除

裏技とi18nに関するkiyo_hikoのブックマーク (1)

  • I18n.tでHTMLを出力するのにrawやhtml_safeを使ってはいけない - Qiita

    みたいなのを書くわけですが、このままだと html_safe でないので自動的にエスケープされてしまいます。 <strong>tnj</strong>さんからメッセージがあります! 悲しい! 正しい HTML の含み方 この問題に直面した Rails I18n 初級者は、「じゃーエスケープ避けてそのまま出力させるしかなくない?」と、 raw だったり html_safe を付けてしまいがちです。 でもそうなると、もし @username にタグが含まれていた場合もエスケープされずに出力されてしまうので、簡単に XSS を引き起こしてしまいます。「ここはユーザー入力値は入らないから大丈夫だよ!」は絶対守り切れないし、変数を必要とするたびに「当にユーザー入力値入ってこないんだっけ?」なんて判断をいちいち必要としていては時間がいくらあっても足りないので、機械に任せたいところです。 で、 Rai

    I18n.tでHTMLを出力するのにrawやhtml_safeを使ってはいけない - Qiita
    kiyo_hiko
    kiyo_hiko 2015/10/29
    すごくいい!
  • 1