开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

为什么在Rails 3中这个erb行为发生了变化？

在Rails 3中，ERB（Embedded Ruby）行为发生了变化的原因是引入了新的默认安全级别。

在Rails 3之前的版本中，默认的ERB安全级别是SafeLevel::TSAFE，它允许在模板中执行任意的Ruby代码。这种设计存在一定的安全风险，因为模板中的代码可以被恶意用户滥用，例如执行系统命令或访问敏感数据。

为了增强安全性，Rails 3引入了新的默认安全级别SafeLevel::SAFE。在这个安全级别下，模板中的代码被限制为只能访问模板的实例变量和局部变量，而不能执行任意的Ruby代码。这样可以有效地防止模板中的恶意代码执行。

这个变化的好处是提高了Rails应用程序的安全性，减少了潜在的安全漏洞。开发人员可以更加放心地使用ERB模板，而不必担心其中的代码会被滥用。

然而，这个变化也可能导致一些旧的Rails 2.x版本的应用程序在升级到Rails 3时出现问题。因为在旧版本中，模板中的代码可以执行任意的Ruby代码，而在新版本中，只能访问变量。因此，一些依赖于旧行为的模板可能需要进行修改才能在Rails 3中正常工作。

总结起来，Rails 3中ERB行为发生变化的原因是为了提高安全性，限制模板中的代码执行，防止潜在的安全漏洞。这个变化可能需要开发人员对旧模板进行修改，以适应新的安全级别。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Web Hacking 101 中文版十六、模板注入

模板引擎是允许开发者或设计师在创建动态网页的时候，从数据展示中分离编程逻辑的工具。换句话说，除了拥有接收 HTTP 请求的代码，从数据库查询必需的数据并且之后将其在单个文件中将其展示给用户之外，模板引擎从计算它的剩余代码中分离了数据的展示（此外，流行的框架和内容管理系统也会从查询中分离 HTTP 请求）。

01

使用Ruby on Rails和Bootstrap开发社交网络平台的详细教程

在这篇博客中，我们将深入介绍如何使用Ruby on Rails（RoR）框架和Bootstrap前端框架共同开发一个简单而功能丰富的社交网络平台。Ruby on Rails提供了强大的后端支持，而Bootstrap则提供了灵活的前端组件，使得我们可以轻松创建现代化的用户界面。

01

Rails MVC 和 CRUD(15)

点击【Destroy】后会根据我们的定义弹出提示连续删除几次后所剩无几目前已经通过 Rails 实现了文章的新建、显示、列出、更新、删除操作 ---- 命令汇总 rails server -b 0.0.0.0 rails generate controller welcome index cat app/views/welcome/index.html.erb vim config/routes.rb grep -v " #" config/routes.rb | grep -v

04

Rails 构建评论功能（11）

虽然这只是一个小小的demo，但不得不说，ruby on rails 的开发效率是很高效的，原因是大部分本来需要手动完成的事情，这个框架已经帮忙自动完成了，我们需要做的只剩下去填补最基本的对象定义，逻辑关系，展示方式

03

Rails MVC 和 CRUD(3)

要在 Rails 中显示“My first test” 的静态页面，需要新建一个控制器和视图

03

Rails布局和视图渲染

基于“多约定，少配置”原则，在 index 动作末尾并没有指定要渲染的视图，Rails会自动在控制器的视图文件夹中寻找 action_name.html.erb 模板，然后渲染。这里渲染的就是 app/views/books/index.html.erb

03

[HCTF] share write up

从http://share.2018.hctf.io/robots.txt中获取到题目部分源码

02

使用rails实现最简单的CRUD

这里定义了路由hello/index，并且使用root方法将首页修改为了hello控制器下的index方法，也就是两路由的控制器一致。

04

Ruby On Rails 4 hello world,Ruby On Rails上手

有机会再试一试Rails了，仅仅是原来接触的是2，如今已然变成了4，似乎如今的安装比原来会快些。。

02

Rails 容器与配置(3)

通过 docker inspect afdddae9b2bf 可以获得丰富的，容器镜像的细节

02

Rails MVC 和 CRUD(5)

创建了一个叫 ArticlesController 的类，继承自 ApplicationController

02

Rails 7 中引入 Bootstrap 5

在 Rails 7 中静态资源的管理已经从 “Webpacker” 改为了 “Import Maps”，用来简化基于 JavaScript 的工具和包管理器 Webpack、Yarn 或者 npm 的使用。

02

Rails 7 中引入 Bootstrap 5

在 Rails 6 中有两种不同的工具可以用来管理前端的 CSS、JavaScript 以及 images 等资源，分别是 “Sprockets” 和 “Webpacker”，“Sprockets” 除了 Rails 应用外很少使用，但是 “Webpacker” 不仅在 Rails 中，在其他应用框架中也被广泛的使用。

05

像一名教育者一样思考代码质量

有一句广为流传的话：代码是写给人看的，而不是为了给机器执行。然而，编写人类易于阅读的代码，这说起来容易做起来难。这件事需要花费几年时间去学习，花费几十年才能掌握。我也许可以提供一个捷径：像一名教育者一样思考代码质量。“捷径”这个词表达的能力很强大。这并不是一个捷径。但我认为，这种观点很重要。Alan Kay 说过，观点抵得上 80 点智商。

03

Rails里实现Filter功能

 As a reader
 When I click on category 'rails'
 Then I should see articles of that category

If you want some practice, go for saas book's RottenPotatoes demo. You will get a better understanding of filter and session stuff in rails!

03

从Web开发者的视角来解读MVC架构

原文标题：An Introduction to MVC Architecture: A Web Developer's Point of View，作者：Dipen Patel

02

Rails MVC 和 CRUD(4)

结果展示了当前的一系列 Restfull API 与 Controller#Action 的对应关系

03

Rails里应用Devise

Use Devise For Authentication Devise is great gem for authentication, check out here. Add Gem First thing you need to do is to add devise gem to you Gemfile. Just add gem 'devise', '~> 3.5' to your Gemfile and run bundle install and restart your server. Se

06

RubyMine 2022 Mac(Ruby代码编辑器) 中文版

JetBrains RubyMine 2022 for Mac是应用在Mac上的一款强大的Ruby代码编辑器，可以通过可定制的配色方案，键盘方案以及高效开发所需的所有外观设置，智能导航一键导航到声明，超级方法，测试，用法，实现，是一款功能强大的代码编辑工具。

01

RubyMine 2023 Ruby和Rails集成开发环境

RubyMine 2023.1 包含 Rails 7 和 Ruby 3.2 支持、新 UI 更新、更快的代码补全、更少的内存消耗、WSL 上改进的 gem 同步、更便捷的导航、在 RSpec 中使用共享上下文和示例的功能，以及增强的 Docker 集成。

04

Rails 3 Script/ 改版

相信如果之前用过 2.* rails 的人都知道. 我们习惯用 ./script/generate [xxxx] 或者 ./script/* [xxxx].

02

JetBrains RubyMine 2022 Mac(Ruby代码编辑器)

JetBrains RubyMine 2022 for Mac是应用在Mac上的一款强大的Ruby代码编辑器，可以通过可定制的配色方案，键盘方案以及高效开发所需的所有外观设置，智能导航一键导航到声明，超级方法，测试，用法，实现，是一款功能强大的代码编辑工具。

01

Ruby on Rails 基础（7）

Note: bundle install 过程中有一个警告，让我们不要使用 root，这样会让其它用户无法操作此应用，其实还有一定安全隐患，这里为图方便，只为了解功能就不去讲究这些了，生产环境下要非常注意 Don’t run Bundler as root. Bundler can ask for sudo if it is needed, and installing your bundle as root will break this application for all non-root user

02

给Rails应用添加Disqus

Add Disqus to Your Website Disqus is a pretty awesome tool for website comments. You just to need a little configuration to get things done. Here is a quick guide to add disqus to your rails app. Disqus Account and Setting Make sure you have an account, if

09

几种实用型Ruby Web开发框架介绍

大家在通过对Ruby的学习后，都知道，Ruby on Rails是一款性能非常优越的Ruby Web开发框架。但是其他的Ruby Web开发框架又有多少人知道一二呢？

00

Rails MVC 和 CRUD(9)

保存数据修改 create 方法，对提交的数据进行保存 [root@h202 blog]# vim app/controllers/articles_controller.rb [root@h202 blog]# cat app/controllers/articles_controller.rb class ArticlesController < ApplicationController def new end def create # render plain: params

02

Rails MVC 和 CRUD(11)

列表页面多出来两个链接，点击【New article】成功跳转到了添加页面，随便输入点什么，提交自动跳转到了显示页面，点击【Back】跳转回了所有列表页面 Tip: 之所以每做一次修改都能直接生效，是因为在开发模式下（默认），每次请求 Rails 都会自动重新加载程序，因此修改之后无需重启服务器 ---- 数据验证我们常常有对输入进行校验的需求，以避免接受到了无效或不合规范的数据 [root@h202 blog]# vim app/models/article.rb [root@h

02

【BlackHat 2017 议题剖析】连接的力量：GitHub 企业版漏洞攻击链构造之旅

作者：Orange （orange@chroot.org ）知道创宇404实验室独家授权翻译原文地址：http://blog.orange.tw/2017/07/how-i-chained-4-vulnerabilities-on.html 过去几个月内，我花费大量时间准备 Black Hat USA 2017 和 DEF CON 25 的演讲内容。成为 Black Hat 与 DEF CON 演讲者是我一直以来的梦想。这也是我第一次在如此正式的场合发表英文演讲。真是一次难忘的经历啊 :P 在此感

TW洞见〡Ruby Web服务器：这十五年

文章作者来自：ThoughtWorks - 韩翼。坦率的说，作为一门年轻的计算机语言，Ruby在最近二十年里的发展并不算慢。但如果与坐拥豪门的明星语言们相比，Ruby就颇显平民范儿，表现始终不温不火，批评胜于褒奖，下行多过上扬。但总有一些至少曾经自称过Rubyist的程序员们，愉快地实践了这门语言，他们没有丝毫的歧视习惯，总是努力尝试各家之长，以语言表达思想，用基准评判高下，一不小心就影响了整个技术发展的进程。本文谨以Ruby Web服务器技术的发展为线索，回顾Ruby截至目前最为人所知的Web领域中

Rails 从入门到完全放弃

这是一篇关于Rails的开发经历的文章，旨在将Rails中遇到的各种问题分享给还未接触Rails或是已经上路的朋友。虽说做Rails的开发时间不长，刚好一年多。但是，在这一年的时间中，该使用的技术架构，Ruby-China 推荐的Gem包，都尝试过使用过了，也为业务开发了一些Gem包。谈不上精通Rails，如果把Rails作者定为最高等级，他是F1赛车手，我该是个跑出租的老司机。

02

GitHub CEO：GitHub 十年，感谢有你

源 / 极光开发者简评：不知为何，总感觉 GitHub 成立不止 10 年了，你们有这种错觉么？本文是 GitHub 联合创始人兼 CEO：Chris Wanstrath 在计算机世界杂志写的文章。当我们回顾 GitHub 过去十年，我们并不会想起某一款软件，而是想到人们用 GitHub 发生了何种改变。十年前，GitHub 正式上线。初衷何其简单：连接开发者，通过 Git 更好开展项目。过去十年，我们已经成为一家公司、一个平台，慢慢壮大，但是初衷从未变过。并不是一个好点子或者什么大事件让这个

04

GitHub 十年，感谢有你

本文是 GitHub 联合创始人兼 CEO：Chris Wanstrath 在计算机世界杂志写的文章。

05

Rails 构建评论功能（4）

生成控制器 [root@h202 blog]# rails generate controller Comments Running via Spring preloader in process 3855 create app/controllers/comments_controller.rb invoke erb create app/views/comments invoke test_unit create test/c

03

puppet

puppet三板斧：资源、类、模板与saltstack的对比。介绍、基础、实战、进阶 1、puppet是一个开源的跨平台的集中化的配置管理工具，发布于2005，目前最新版本为6.3。puppet是基于ruby语言的。在2012年的时候，puppet与Openstack整合。 2、目前puppet已拥有300+客户，包括twitter、oracle、Google、RedHat，国内有新浪、阿里巴巴、腾讯、百度、小米、豆瓣等。 3、puppet管理一台主机的整个生命周期，包括初始化安装、升级、维护、服务迁移。在puppet世界中，一台主机的每个生命周期内的每个动作都被抽象成一个资源。我们需要维护一台主机上的每个资源。 4、puppet的组织结构：

03

Ruby vs Elixir | 2022 该选哪个？

Ruby 和 Ruby on Rails 可能并不需要过多的介绍，因为它们已经被广泛的应用在 Web 开发领域。

01

畅谈百年编程语言

这个话题非常大胆。我是说，软件开发发展到今天，差不多已经有 65 年了。而框架就更年轻了。断定你的语言或框架能活到一百年，这是一个相当大的论断。

03

Ruby on Rails 基础（5）

其实就是一捆gems Tip: 查看本地有哪些 gem ，可以通过如下方式 [root@h202 ruby]# gem list *** LOCAL GEMS *** actionmailer (4.2.6) actionpack (4.2.6) actionview (4.2.6) activejob (4.2.6) ... ... rdoc (4.2.1) rvm (1.11.3.9) sprockets (3.6.0) sprockets-rails (3.0.4) test-unit (3.1.

01

不要学习“网红”编程语言

Ruby on Rails 的衰落是毋庸置疑的，而且今年以来的衰落速度比以往更快。

03

向云原生要数据：日均万亿级数据安全保障和小时级风险应对实践

作者｜夏巨鹏（真谛）编辑｜邓艳琴近年来，大数据、人工智能的发展给数据的自由流动带来了便利。但风险也随之产生，数据安全问题成为了关注的核心，因此，《数据安全法》、《个人信息保护法》应运而生，为数据隐私保护法律法规的实施对数据的应用做出了规范和要求。另一边，各大型互联网企业纷纷响应，对内进行大刀阔斧的技术改造，进而保护数据生产要素及其合规应用。在过去的 3、4 年中，蚂蚁集团将云原生、大数据、人工智能三者结合，实现了数据安全合规技术的新突破，解决了日均数万亿数据流动风险检测问题，将数据安全风险响应时效

01

如何使用本地 Docker 更好地开发？我们总结了这八条经验

如果你像我们一样需要运行许多不同的应用程序，那么将开发环境容器化可以极大地提高工作效率。这里有一些可以优化本地 Docker 环境的技巧。

04

【Ruby on Rails】Model中关于保存之前的原值和修改状态

今天在Rails的Model中遇到了一个问题—— 当我从Model类中获取了一个ActiveRecord对象，对其进行了一系列修改（尚未保存），我该如何确定究竟哪些修改了呢？（设Model为Option,相关的的参数为correct）我本来采取的方法是——在数据表中新增一个ori_correct参数，每次对象保存之前都和correct做到同步，这样一来，是不是correct字段发生了修改也就得以判断了。但是这样的缺点也显而易见——如果以后参数个数很多的话，岂不是得每一个都得来一个相应的ori_字段？这

09

浅谈配置文件

一个常见问题是：如何处理不同环境下不同的配置？传统的解决方案是为每个环境都单独设置一个配置文件，比如 rails 项目里一般会有 development、production、test 等几个配置文件，不过此方法不易扩展：更多部署意味着更多新的环境，随着项目的不断深入，开发人员可能还会添加他们自己的环境，这将导致各种配置组合的激增，从而给管理部署增加了很多不确定因素，此外，直接在文件中保存配置的话，如果有用户名密码等敏感信息，往往意味着它们会一并被保存到版本库中，这可能会诱发安全隐患，类似的案例在 github 上已经数不胜数了。关于此类问题，12factor 给出的解决方案是在环境变量中保存配置，如此一来，代码层面上就不用再关注不同环境下配置的差异了，版本库里也不用保存敏感信息了（都保存到环境变量里面了）。

01

gitlab15.9.3升级到16.3.4（16.4.0也好）

前面的步骤参照gitlab-11.1.4继续升级到15.9.3（我有三个gitlab服务器，还有两个升级到了15.11.0,在打开gitlab web控制台的时候经常会收到让版本升级的弹窗，很是让人强迫症。就准备升级一下个gitlab.

06

在Puppet中用ERB模板来自动配置Nginx虚拟主机

模板文件是在puppet模块下面templates目录中以”.erb”结尾的文件，puppet模板主要用于文件，例如各种服务的配置文件，相同的服务，不同的配置就可以考虑使用模板文件，例如Nginx和Apache的虚拟主机配置就可以考虑采用ERB模板，nginx的安装在这里建议用系统内部自带的YUM源来安装或其它第三方YUM源来安装，如果是用Nginx的官方源来安装nginx的话，我们可以查看下/etc/yum.repos.d/nginx.repo文件内容，如下所示：

01

Rails 构建评论功能（6）

如果程序中重复代码达到一定量级，会影响可读性和可维护性，这时我们可以将其中重复部分抽出来，单独成块

03

FMEN | NTIRE2021-ESR最低内存占用超分方案

今天介绍一篇NTIRE2022 Efficient Super Resolution竞赛方案，该方案取得了最低内存占用、第二快的推理速度。推理耗时与内存占用是EISR(Efficient Image Super Resolution)的两个重要考量因素。在该方向上比较知名的方案当属IMDN与RFDN，两者均采用split与concat对蒸馏与聚合的策略进行了探索。相反，序贯式(Sequential)结构避免了频繁的访问前置状态与额外节点，对降低内存占用与推理耗时更有益。

01

设计匠艺 | 清晰的设计意图

如果你不能清晰地表达设计意图，追求简单无疑就是一个笑话。语言的纠缠不清，实则暴露了你思想的混乱，就像行走在陌生城市的异乡人，城市地图成了他唯一的指路明灯。糟糕的是，地图用唯一的色彩试图简单阐明简单的本质，却因为缺乏清晰的层次感让人变得无所适从。当然，还有一个重要的原因，城市本身是一种混乱的复杂。不能简单地阐述设计意图，就有他人无法理解系统的危险。架构最好是不言自明的，至少，也是能够用语言表达清楚的。正如爱因斯坦所说：“如果你不能向一个六岁小孩解释某件事，那么你自己就没有真正理解它。”架构是团队知识传递（分

05

如何让服务器从30台缩减到2台的：从Ruby迁移到Go语言

我们开发第一版的IronWorker已经是3年前的事了，是用Ruby写的，API基于Rails开发。我们没用多久就发展成了相当大的规模，很快我们就触及到了Ruby程序的承载上限。长话短说，我们切换到了

Rails MVC 和 CRUD(10)

再次加载可以成功显示了 ---- 列出所有文章 [root@h202 blog]# vim app/controllers/articles_controller.rb [root@h202 blog]# cat app/controllers/articles_controller.rb class ArticlesController < ApplicationController def new end def create # render plain: params[:ar

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭