text_areaフィールドフォームにコピー/ペーストを許可しますが、書式設定を削除します

Question

非常に単純なWYSIWYG（太字/下線/箇条書きの点）でテキスト形式を使用できる形式のtext_areaフィールドがあります。これは、ユーザーの記述プロファイルに一貫した書式設定を行うことを目的としていました。

<%= l.text_area :access, value: "#{t('.access_placeholder_html')}" %> 

しかし、一部のユーザーは通常、自分のウェブサイトから直接コピー/貼り付けによってtext_areaに書き込んでいます。そして、彼らの特定の書式設定 "ハイパーテキストリンク"、フォントサイズなどは、私のウェブサイトに反映された後、少し汚れています。

どうすればこの問題を解決できますか。理想的には、フォームを保存すると、コピー/貼り付けを許可しない代わりに許可されていないすべてのHTMLコードを取り除くことが理想的です。これは可能ですか？サニタイズを使用すべきかどうか疑問に思っていましたが、どうすればよいでしょうか？ （申し訳ありませんがコードに新しい、私はあなたが理解しただろうと思います）。

Answer 1

あなたはどのバージョンのRailsを使っていないのですが、ActionView::Helpers::SanitizeHelperモジュールの#sanitizeからすべてのHTML書式を削除することができます。これは、スクラバーでテキストからHTMLをスクラブします。デフォルトのスクラバーでは、オプションで属性のホワイトリストを作成できます。出力されるものをさらに制御する必要がある場合は、独自のカスタムスクラバーを作成して文字列を変更することもできます。また、モジュールには#strip_tagsと#strip_linksが含まれています。これはすべてのHTMLタグとすべてのHTMLリンクタグを削除する非常に簡単なスクラバーです（リンクテキストはそのままです）。

ユーザーの入力が有効なHTMLでない場合は、不正な形式のテキストを表示することができます。ドキュメントから

クイック例：

// remove all HTML tags except <strong> <em> <a> and the 
// <href> attributes from @text 
nomarkup_text = sanitize @text, tags: %w(strong em a), attributes: %w(href) 

// remove all HTML markup 
strip_tags("<b>Bold</b> no more! <a href='more.html'>See more here</a>...") 

Bold no more! See more here...

// remove just the link markup 
strip_links('Please e-mail me at <a href="mailto:me@email.com">me@email.com</a>.') 

文字列がAPI page for SantizeHelper