11
我使用Symfony2.1和具有默認config.ymlSymfony2的HTML中的反式樹枝過濾
{# but static strings are never escaped #}
{{ '<h3>foo</h3>'|trans }}
但是,如果我複製並粘貼到我的空模板(不任何額外的自動景觀或其他)我得到了逃脫的字符串<h3>foo</h3>。我做錯了什麼?
A
回答
14
與twig raw filter試試:
{{ '<h3>foo</h3>' | trans | raw }}
不過,如果你正在處理任何用戶輸入不使用raw過濾器!它允許跨站點腳本攻擊,according to the creators of Symfony。看到this similar question一個安全但更乏味的選擇。
+0
是的,它的工作原理。所以,說''但靜態字符串永遠不會逃脫''文檔是錯誤的。靜態字符串也會被轉義。 – Mikhail
+1
嗯,我只在翻譯中使用過html,我一直在使用佔位符,在這種情況下字符串的定義不是靜態的。你是對的,文檔建議這個例子應該沒有原始的工作,在這種情況下,這是一個錯誤,除非你不使用最新版本的Symfony,這是一個最近的變化? – redbirdo
+1
而且,如果您在Twig模板中注入了一些用戶數據,則會創建一個安全漏洞:http://blog.insight.sensiolabs.com/2013/11/28/a-new-batch-of-rules html的。故事的道德:不要使用'生'! –
1
在翻譯中保存HTML資料是錯誤的,因爲翻譯人員通常會將其破譯。但是,如果你真的需要它:
{% trans %}<h3>foo</h3>{% endtrans %}
https://github.com/symfony/symfony/issues/2713#issuecomment-12510417
相關問題
- 1. Symfony的 - 用樹枝反式過濾器上
- 2. Symfony2中有樹枝
- 3. symfony2生成帶樹枝的靜態html
- 4. 在symfony2中的另一個過濾器樹枝內使用過濾器
- 5. Symfony2的:在一根樹枝過濾器擴展
- 6. Symfony2的jQuery的在樹枝
- 7. 的foreach在樹枝的Symfony2
- 8. 樹枝中的過濾器調用
- 9. 缺少'format_date'SonataNewsBundle中的樹枝過濾器
- 10. Symfony2,樹枝和JavaScript
- 11. Symfony2的app.user在樹枝
- 12. 樹枝逃生( 'JS')Symfony2的
- 13. Symfony2樹枝form_widget自定義html
- 14. 嵌套過濾器和函數在樹枝| Symfony2
- 15. 樹枝:在if條件中過濾
- 16. Symfony2 +樹枝:將標籤轉換爲新的樹枝延伸
- 17. 未在樹枝過濾器中指定的樹枝擴展方法參數
- 18. Symfony2樹枝安全政策
- 19. Symfony2樹枝加載模板
- 20. CKEditor在樹枝模板+ Symfony2
- 21. 樹枝延伸 - symfony2環境
- 22. Symfony2樹枝無限深度
- 23. form_errors(表格)symfony2樹枝
- 24. symfony2 form樹枝輸入值
- 25. Symfony的 - 小枝的反式過濾器不拾取區域
- 26. 使用樹枝過濾變量到url
- 27. Symfony2在樹枝模板中組織javascript的最佳方式
- 28. 在Symfony2的樹枝資產功能
- 29. 我在樹枝擴展類的Symfony2
- 30. 添加在Symfony2的樹枝CSS表達
我提供了一個答案,但我想知道你爲什麼會想這樣做在實踐中,如果你想改變你的標記會需要更新所有翻譯密鑰。或者,這是一個簡化的例子,你真的使用消息佔位符將html注入到翻譯中? – redbirdo
是的,這是一個簡單的例子。在現實生活中,我想在標籤之間插入一個變量:'{{'您好%var%'| trans({'%var%':var})}}'。現在要做到這一點,我必須寫:'{{'你好,%var%'| trans({'%var%':var | e})| raw}}' – Mikhail