Бесплатный вебинар
«как найти любимую работу»
Подарки на 150 000 ₽ за участие
Живой эфир
Записи не будет!
00:00:00:00
дн.ч.мин.сек.

Рендер HTML в Twig: отображение тегов, а не сущностей

Быстрый ответ

Если вам требуется вставить HTML-код в шаблон Twig без экранирования, можно воспользоваться фильтром |raw:

twig
Скопировать код
{{ html_content | raw }}

Обратите внимание: использование фильтра |raw всегда требует проверки HTML-контента на безопасность, иначе угрожает опасностью XSS-атак.

Кинга Идем в IT: пошаговый план для смены профессии

Безопасное использование фильтра raw

Для безопасного использования фильтра |raw, предварительно очистите HTML-контент:

twig
Скопировать код
{{ sanitized_content | raw }}

Важно, чтобы переменная sanitized_content была тщательно очищена от всех потенциальных уязвимостей, подобно тому как готовится к выставке породистая собака. Такую очистку лучше всего производить на стадии бэкенда, до того как данные попадут в шаблон Twig.

Продвинутая очистка с помощью фильтра striptags

В Twig существует фильтр |striptags, который позволяет разрешить использование определённых HTML-тегов:

twig
Скопировать код
{{ html_content | striptags('<p><a>') | raw }}

Этот фильтр подобен селективному контролю доступа, пропускающему в "клуб" только теги <p> и <a>, исключая остальные.

Эффективная защита с использованием внешних библиотек

Если вы сомневаетесь в содержимом, рекомендуется использовать сторонние библиотеки для очистки HTML-кода:

php
Скопировать код
$purifier = new \HTMLPurifier(); // Идеальный защитник в мире HTML
$clean_html = $purifier->purify($dirty_html); // Очистили и передали дальше

Затем безопасно отобразите очищенный HTML в шаблоне Twig:

twig
Скопировать код
{# Так и начинается история о мире чистого HTML... #}
{{ clean_html | raw }}

Использование функции перевода Symfony

Для вставки статического HTML-кода можно использовать систему перевода Symfony и передавать HTML напрямую в шаблон Twig из файла переводов:

yaml
Скопировать код
# translations/messages.en.yaml
welcome_msg: "<p>Добро пожаловать, <strong>%username%</strong>!</p>"

И в шаблоне Twig:

twig
Скопировать код
{# Сообщение доставлено точно, как письмо от почтальона Symfony. #}
{{ 'welcome_msg'|trans({'%username%': username})|raw }}

Визуализация

С помощью фильтра |raw ваша строка трансформируется в полноценный HTML внутри вашего шаблона Twig:

Markdown
Скопировать код
| Ваша Строка                          | Шаблон Twig                          |
| ------------------------------------ | ------------------------------------ |
| "<p>Привет!</p>"                     |  🖼️: [Привет!]                     |
| "<b style='color: red;'>Тревога!</b>"| 🖼️: [**Тревога!**]                 |

Таким образом, фильтр |raw дает возможность HTML раскрыть все свои возможности прямо внутри шаблона Twig.

Применение на практике: Когда стоит использовать raw

  • Статический контент: |raw идеально подходит для статических строк, не предполагающих внешний ввод.
  • Редакторы контента с форматированием: |raw лучше всего подходит для отображения контента от доверенных администраторов.
  • Шаблоны электронной почты: |raw нужен для корректного отображения форматированных писем в почтовых клиентах.

Особенности обработки динамического HTML-контента: Осторожно, опасность!

  • Контент, созданный пользователями: С фильтром |raw следует обращаться осторожно, как с сырым яйцом. Если контент не очищен, лучше не использовать его.
  • Наследование шаблонов: Убедитесь, что через наследование не подключается небезопасный контент.
  • Избегание двойного экранирования: Если используются PHP-функции типа htmlspecialchars, нужно быть осторожным с |raw, чтобы не вызвать конфликт из-за двойного экранирования.

Полезные материалы

  1. escape – Документация – Twig — Руководство по экранированию вывода в шаблонах Twig.
  2. include – Документация – Twig — Как подключать различные шаблоны и обрабатывать HTML-контент.
  3. raw – Документация – Twig — О фильтре |raw для отображения неизменённого HTML.
  4. sandbox – Документация – Twig — Защита вашего шаблона Twig с помощью расширения sandbox.
  5. PHP: htmlspecialchars – Руководство — Функция для экранирования HTML-символов, часто используемая на бэкенде.
Проверь как ты усвоил материалы статьи
Пройди тест и узнай насколько ты лучше других читателей
Какой фильтр в Twig можно использовать для отображения HTML-кода без экранирования?
1 / 5