Puoi usare HTML nelle variabili TWIG, ma devi consentirlo esplicitamente con il filtro safe_html. Ciò garantisce la sicurezza.
Perché HTML non funziona direttamente in TWIG?
Aivie ha rafforzato le misure di sicurezza e così l’elaborazione di HTML nelle variabili TWIG è stata limitata. Il motivo è che l’HTML non controllato può rappresentare un rischio per la sicurezza, ad esempio, tramite JavaScript incorporato o contenuti esterni.
Per questo, ora vale quanto segue:
- Funzioni come
|rawnon sono più consentite - Nessun tag HTML diretto tramite token
- Solo output sicuro e controllato tramite funzioni TWIG consentite
Soluzione: usa il filtro safe_html
Per continuare a usare HTML, è disponibile un nuovo filtro TWIG: safe_html.
Questo filtro consente un elenco definito di tag HTML sicuri. In questo modo puoi continuare a usare contenuti strutturati come tabelle, formattazioni o layout semplici.
Non sono consentiti, ad esempio:
- JavaScript
- iFrame
- Immagini
- contenuti esterni con potenziale rischio
Gli elementi HTML consentiti si basano sull’elenco ufficiale del Sanitizer (MDN HTML Sanitizer API).
Esempio
Ecco come puoi visualizzare correttamente l’HTML in una variabile TWIG:
<td valign="top" style="width: 100%">
{{ item.name | safe_html }}
</td>
Importante: il filtro deve essere applicato ovunque sia previsto HTML.
Cosa è stato ulteriormente migliorato?
- Visualizzazione e modifica diretta di TWIG nell’editor di e-mail, landing page e contenuti dinamici
- L’editor di codice in Aivie Builder ora supporta TWIG in modo nativo (Linting, Type Ahead, Formattazione, Snippet)
- Anteprima migliorata dei contenuti TWIG
Conclusione
I tag HTML sono possibili in TWIG, ma solo in modo controllato tramite il filtro safe_html. In questo modo combini flessibilità e sicurezza ed eviti rischi dovuti a codice non sicuro.
