回答:
h
ヘルパーメソッド:
<%=h "<p> will be preserved" %>
h
がある人のためのエイリアスですhtml_escape
Ruby CGIクラスをチェックアウトしてください。HTMLおよびURLをエンコードおよびデコードする方法があります。
CGI::escapeHTML('Usage: foo "bar" <baz>')
# => "Usage: foo "bar" <baz>"
ERB :: Util.html_escapeはどこでも使用できます。require
Railsで使わなくても利用できます。
CGI.escapeHTML
下で使用されています
HTMLエスケープをどこでも使用するというクリストファーブラッドフォードの回答に加えて、CGI
現在ほとんどの人は使用していないため、以下も使用できますRack
。
require 'rack/utils'
Rack::Utils.escape_html('Usage: foo "bar" <baz>')
h()
またはのいずれかを使用できますhtml_escape()
が、ほとんどの人はh()
慣例に従って使用します。 in railsのh()
略ですhtml_escape()
。
コントローラで:
@stuff = "<b>Hello World!</b>"
あなたの見解では:
<%=h @stuff %>
HTMLソースを表示する場合:実際にデータを太字にしなくても出力が表示されます。つまり、としてエンコードされ<b>Hello World!</b>
ます。
次のように表示されます <b>Hello World!</b>
さまざまな方法の比較:
> CGI::escapeHTML("quote ' double quotes \"")
=> "quote ' double quotes ""
> Rack::Utils.escape_html("quote ' double quotes \"")
=> "quote ' double quotes ""
> ERB::Util.html_escape("quote ' double quotes \"")
=> "quote ' double quotes ""
Rails ActiveMailerのエスケープと互換性があるように自分で作成しました。
def escape_html(str)
CGI.escapeHTML(str).gsub("'", "'")
end
h()
引用符をエスケープするのにも役立ちます。
たとえば、テキストフィールドを使用してリンクを生成するビューがありますresult[r].thtitle
。テキストには単一引用符を含めることができます。result[r].thtitle
confirmメソッドでエスケープしなかった場合、JavaScriptは壊れます。
<%= link_to_remote "#{result[r].thtitle}", :url=>{ :controller=>:resource,
:action =>:delete_resourced,
:id => result[r].id,
:th => thread,
:html =>{:title=> "<= Remove"},
:confirm => h("#{result[r].thtitle} will be removed"),
:method => :delete %>
<a href="#" onclick="if (confirm('docs: add column &apos;dummy&apos; will be removed')) { new Ajax.Request('/resource/delete_resourced/837?owner=386&th=511', {asynchronous:true, evalScripts:true, method:'delete', parameters:'authenticity_token=' + encodeURIComponent('ou812')}); }; return false;" title="<= Remove">docs: add column 'dummy'</a>
注::html
タイトル宣言はRailsによって魔法のようにエスケープされます。
&<>"'/