VK
C:\rubyrails\blog>bin/rails generate controller Articles index --skip-routes
"bin" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.
Size: a a a
2021 August 23
Э
А просто rails?
Ф
bin\railsЭ
И в винде слэши в другую сторону, угу
Ф
но это не сработает скорее всего
Э
В любом случае в винде с рельсами работать — такое себе удовольствие
Из простых вариантов — использовать WSL или виртуалку с линуксом
Из простых вариантов — использовать WSL или виртуалку с линуксом
VK
C:\rubyrails\blog>bin\rails generate controller Articles index --skip-route
"bin\rails" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.
Э
☝️
VK
теперь все сработало! в чем тут принципиальный момент? чтобы дальше понимать, что это такое? спасибо!
Э
В папке проекта запускать нужно :)
VK
это понял! еще раз спасибо!
S
Привет всем.
Кому доводилось сталкиваться с ActiveTemplate или так кто поймет: когда он создает превью для email template вижу такой код в геме:
body
Почему он пропускает html контент? Ведь именно там может прийти скрипт?
Правильно ли я понимаю, что они могли не учесть, что xss может прити непосредственно в request и ждут что всегда будет приходить бесопасная строка из UI?
Кому доводилось сталкиваться с ActiveTemplate или так кто поймет: когда он создает превью для email template вижу такой код в геме:
body
= sanitize("<pre>#{body}</pre>") if params[:part] == 'text/plain’Почему он пропускает html контент? Ведь именно там может прийти скрипт?
Правильно ли я понимаю, что они могли не учесть, что xss может прити непосредственно в request и ждут что всегда будет приходить бесопасная строка из UI?
Э
Скрипты как раз фильтруются при этом
https://api.rubyonrails.org/classes/ActionView/Helpers/SanitizeHelper.html#method-i-sanitize
Sanitizes HTML input, stripping all but known-safe tags and attributes.
It also strips href/src attributes with unsafe protocols like javascript:, while also protecting against attempts to use Unicode, ASCII, and hex character references to work around these protocol filters. All special characters will be escaped.
https://api.rubyonrails.org/classes/ActionView/Helpers/SanitizeHelper.html#method-i-sanitize
Sanitizes HTML input, stripping all but known-safe tags and attributes.
It also strips href/src attributes with unsafe protocols like javascript:, while also protecting against attempts to use Unicode, ASCII, and hex character references to work around these protocol filters. All special characters will be escaped.
S
спасибо, сейчас почитаю
S
так да! он же просто делает это если тип темплейта ‘text/plain’ , а если ‘text/html’ то пропускает без sanitize.
Похоже это кастомные доработки гема. Буду разбираться. В любом случае спасибо.
Похоже это кастомные доработки гема. Буду разбираться. В любом случае спасибо.
Э
А, типа почему условие стоит. Это лучше у контрибьюторов в issue поинтересоваться
И ссылку на исходник скинуть, чтоб у участников чата лучше понимание было о чём речь
И ссылку на исходник скинуть, чтоб у участников чата лучше понимание было о чём речь
S
я понял, большое спасибо!
I
Кто подскажет как сложить все числа в массиве?))
Э
Array#sumIS
[*1..10].sum