Railsのerb内で<%= "<h3>ほげほげ</h3>" %>
みたいに呼び出した際に<
>
は自動的に>
<
に置換されるらしい。
普通に使う分にはXSSの対策もちゃんと取られてる。
もし変換させたくないのであれば<%= raw hoge %>
みたいにraw
をつけてやったらそのまま出るのか…
hoge.html_safe
なんてのもあるらしい。
駄菓子菓子
特定の条件でHTML使いたい時ってあるじゃん?
自動リンク化とか...
URLのリンク置換は昔は簡単だったらしい。auto_link
なんて便利なヘルパーメソッドがあったらしいけど廃止されたとか。
代用品にrails_autolink
なんていうgemがあるみたいだしURL置換はこれでよさそう。
ところで正規表現で特定の文字列拾ってリンク化させるのはどうすればいいの?
Twitterのハッシュタグや@リプライみたいなの。
結局はテキトーにHTMLをエスケープしてやってから置換させていってrawでやることになるのだろうか…