Railsのerb内で<%= "<h3>ほげほげ</h3>" %>みたいに呼び出した際に< >は自動的に> <に置換されるらしい。
普通に使う分にはXSSの対策もちゃんと取られてる。
もし変換させたくないのであれば<%= raw hoge %>みたいにrawをつけてやったらそのまま出るのか…
hoge.html_safeなんてのもあるらしい。
駄菓子菓子
特定の条件でHTML使いたい時ってあるじゃん?
自動リンク化とか...
URLのリンク置換は昔は簡単だったらしい。auto_linkなんて便利なヘルパーメソッドがあったらしいけど廃止されたとか。
代用品にrails_autolinkなんていうgemがあるみたいだしURL置換はこれでよさそう。
ところで正規表現で特定の文字列拾ってリンク化させるのはどうすればいいの?
Twitterのハッシュタグや@リプライみたいなの。
結局はテキトーにHTMLをエスケープしてやってから置換させていってrawでやることになるのだろうか…