Мне понравился https://alex-d.github.io/Trumbowyg/

Возник вопрос: Есть CKeditor, копирую в него текст, жму сохранить. В БД попадает html код, на выводе делаю .html_safe Насколько я понимаю это совсем не секьюрно, чтобы в базе хранился html код? как правильно тогда делать?

а почему нет

а где их хранить тогда))

ну вот вставляем в CKEditor <script>alert()</script> и он вызовет этот алерт. Это же XSS уязвимость, нет?

только с ним (как и с другими в целом) нужно повозиться с настройкой

а для начинающих с прицелом на джуна и удаленку - Sublime Text? насколько понимаю на "все" хватит)

ну вот вставляем в CKEditor <script>alert()</script> и он вызовет этот алерт. Это же XSS уязвимость, нет?

Постим это в коммент, делаем релоад страницы и alert() отрабатывает

ну вот вставляем в CKEditor <script>alert()</script> и он вызовет этот алерт. Это же XSS уязвимость, нет?

у таких редакторов можно настраивать, какие теги он пропускает, а какие удаляет начисто

геморная тема, но можно добиться, чтобы любой <script> удалялся

тоесть из коробки мы получаем уязвимый продукт, да?

зависит от редактора, у некоторых политика "Максимум разрешено", у некоторых "Максимум запрещено"

ну вот у меня CKeditor из коробки легко пропустил <script></script>

значит у него политика "Все разрешено"

И как вы в своих проектах решаете проблему XSS injection?

никак, в моих проектах пользователям недоступен визивиг

а если будет - настрою ckeditor, а еще лучше - и на сервере обработочку

думаю даже готовые решения есть. гемчик какой-нибудь, с которым можно писать: post.update(text: xss_safe(params[:text]))

и в методе xss_safe он сам все сделает (заэкранирует/удалит опасные места)

Как вариант можно использовать sanitize, я не разбирался какие тэги он режет, но <script> не прошел

Возможно очень общий вопрос, но как и куда копать если надо сделать поиск по базе более менее умный

Скажем у меня есть карточка клиента

И мне сделать чтобы искал по фамилии, телефону, айди

Ну и живой типа поиск с подсказками

это все одна модель? искал сразу по всем полям одновременно?

Глянь gem searchkick

Это будет 2 модели

Спасибо, Виталий сейчас гляну

Как зависимость потребуется elastic search. Можно за пару минут в docker поднять

Только бы ещё уметь)))

Эластик надо ставить как пакет в систему верно?

Установил CKeditor, добавил в форму <%= f.text_area :body, :class => 'ckeditor' %> - первая загрузка страницы - CKeditor не грузится - reload - грузится, погуглил и обернул text_area в <div data-no-turbolink> - тоже самое. Мне кажется тут кто-то уже спрашивал смежный вопрос, но найти не могу

Как imagemagic типа?

Установил CKeditor, добавил в форму <%= f.text_area :body, :class => 'ckeditor' %> - первая загрузка страницы - CKeditor не грузится - reload - грузится, погуглил и обернул text_area в <div data-no-turbolink> - тоже самое. Мне кажется тут кто-то уже спрашивал смежный вопрос, но найти не могу

Да у меня было

Я не ставлю - в контейнере поднимаю и порт прокидываю

Сейчас сек

https://www.notion.so/df4c32146dd145a5b371adf589437d0f

Я не ставлю - в контейнере поднимаю и порт прокидываю

А есть для чайников статья?

Ты постоянно хвалишь докер, а для меня это даже не тёмный лес, а целая планета

https://www.elastic.co/guide/en/elasticsearch/reference/current/docker.html

Нужно видосики позаписывать

+100

И вот это "пробросить порт"

В инструкции уже проброшен

Подскажите, пожалуйста, какие связки в SQL бывают? Где почитать?

Установил CKeditor, добавил в форму <%= f.text_area :body, :class => 'ckeditor' %> - первая загрузка страницы - CKeditor не грузится - reload - грузится, погуглил и обернул text_area в <div data-no-turbolink> - тоже самое. Мне кажется тут кто-то уже спрашивал смежный вопрос, но найти не могу

конкретно для ckeditor с turbolinks у меня такой код: https://github.com/gambala/gambala/blob/master/app/assets/javascripts/components/ckeditor.coffee

как полностью удалить конечный пробел? делаю split не особо робит alim_name: ActionView::Base.full_sanitizer.sanitize(row[3].to_s.strip).strip, делаю загрузку из xls в базу как только не пытался убрать пробел - не убирается

кто что скажет

?

а как через gsub убрать последний пробел?

конкретно для ckeditor с turbolinks у меня такой код: https://github.com/gambala/gambala/blob/master/app/assets/javascripts/components/ckeditor.coffee

Я только закончил курс Романа и видимо путаюсь в архитектуре, данной директории у меня не было app/assets/javascripts/components/ , её я добавил, в ней сделал файл ckeditor.coffee полностью скопировав Ваш. В app/assets/javascripts/application.js добавил //= require ckeditor/loader и //= require_tree ./components. Убрал из него //= require ckeditor/init. Не работает, ошибок нету, откуда кстати вот это тянется? //= require ckeditor/plugins/codesnippet/lib/highlight/highlight.pack ведь такого путя в Вашем репе нету

и вот это откуда берется? # app/assets/javascripts/ckeditor/loader,js.erb //= require ckeditor/init CKEDITOR.config.customConfig = '<%= javascript_path 'ckeditor/config.js' %>';

такого пути ведь тоже не существует

Можно не делать все, как у меня, а взять лишь инициализацию с турболинками

Закрыть для начала этот вопрос. А потом, если будет необходимость - идти дальше

app/assets/javascripts/components/ckeditor.coffee вот это Вы имеете ввиду?

Да

Окей, данный файл я создал. в application.js я в таком случае добавляю лишь //= require_tree ./components и //= require ckeditor/init ?

Зачем его создавать?

Так его же нету

я наверное не до конца понял суть

судя по всему и я

Установил CKeditor, добавил в форму <%= f.text_area :body, :class => 'ckeditor' %> - первая загрузка страницы - CKeditor не грузится - reload - грузится, погуглил и обернул text_area в <div data-no-turbolink> - тоже самое. Мне кажется тут кто-то уже спрашивал смежный вопрос, но найти не могу

вот здесь же у вас все работало?

цкэдитор загружался и нормально цеплялся на тег в верстке, но только не через турболинки, верно?

ERROR: S client not available

вот здесь же у вас все работало?

при reload page -да, при перехоже по ссылке - нет

вместо него был обычный textarea если не сделать reload page

супер, у вас где-то в js он явно инициализируется? с события document.on('ready') например?

https://github.com/galetahub/ckeditor делал по данной инструкции. Кроме как тут app/assets/javascripts/application.js прописал //= require ckeditor/init - больше ничего не делал

и в форме добавил <%= f.text_area :body, :class => 'ckeditor' %>

аха, круто, значит внутри ckeditor/init уже идет инициализация по document.ready

значит да, нужно добавить вот этот код https://github.com/gambala/gambala/blob/master/app/assets/javascripts/components/ckeditor.coffee в любое место, загружающееся после ckeditor/init

и в целом неважно, что это за место будет

я держу все кастомные скрипты в папке components и подключаю их через require_tree ./components

у вас может быть другая структура, или просто включение одиночного файла

Признаюсь, я совершенного не понимаю смысл строки //= require ckeditor/init - ckeditor/init - это что? относительный путь?

абсолютный путь до файла init.js, лежащего в папке ckeditor в геме ckeditor-rails

окей, создал директорию components в ней файл ckeditor.coffee идентичный вашему

в application.js :

//= require jquery3 //= require jquery_ujs //= require rails-ujs //= require turbolinks //= require_tree . //= require bootstrap-sprockets //= require ckeditor/init //= require_tree ./components

//= require_tree ./components - это же подключает все скрипты из папки components?

да, все так

но у вас будет ошибка

потому что вот этим //= require_tree . вы уже подключаете все дерево целиком

включая папку components

со скриптом, который должен грузиться после ckdeitor/init

а еще у вас //= require jquery_ujs //= require rails-ujs вместе, хотя не должны

потому что это - одна и та же библиотека, просто для рельс < 5.1 и >= 5.1

у вас рельсы 5.1 сейчас? тогда вот так будет оптимально //= require jquery3 //= require bootstrap-sprockets //= require ckeditor/init //= require rails-ujs //= require turbolinks //= require_tree .

сейчас попробую

исправил как Вы написали, тоже самое - первый переход на страницу text_area, reload page - ckeditor

в консоли кстати ошибка появилась Uncaught The editor instance "comment_body" is already attached to the provided element. (anonymous) @ jquery3.self-06c4342….js?body=1:3870

так, а text_area вы каким классом сопровождаете?

и в форме добавил <%= f.text_area :body, :class => 'ckeditor' %>

аха, вижу, ckeditor

в моем скрипте есть такая строчка $('.js-ckeditor').each -> ее нужно тогда вам исправить на $('.ckeditor').each ->