Qiita Teams that are logged in
You are not logged in to any team

Log in to Qiita Team
Community
OrganizationAdvent CalendarQiitadon (β)
Service
Qiita JobsQiita ZineQiita Blog
166
Help us understand the problem. What is going on with this article?
@tnj

I18n.tでHTMLを出力するのにrawやhtml_safeを使ってはいけない

More than 1 year has passed since last update.

TL;DR

rails-i18n は、キー名に _html を付ければ安全に HTML を出力してくれるrawhtml_safe を使ってはいけない。

I18n の翻訳に HTML を突っ込みたい!

Rails で構築された多言語対応のサイトで、 I18n を使っているときに、翻訳メッセージに HTML を含みたくなることがあります。

例えばこんな感じ。

ja.yml
ja:
  incoming_message: '<strong>%{username}</strong>さんからメッセージがあります!'

これを表示するときは、 View のテンプレートで、

show.html.erb
<%= t 'incoming_message', username: @username %>

みたいなのを書くわけですが、このままだと html_safe でないので自動的にエスケープされてしまいます。

<strong>tnj</strong>さんからメッセージがあります!

悲しい!

正しい HTML の含み方

この問題に直面した Rails I18n 初級者は、「じゃーエスケープ避けてそのまま出力させるしかなくない?」と、 raw だったり html_safe を付けてしまいがちです。

でもそうなると、もし @username にタグが含まれていた場合もエスケープされずに出力されてしまうので、簡単に XSS を引き起こしてしまいます。「ここはユーザー入力値は入らないから大丈夫だよ!」は絶対守り切れないし、変数を必要とするたびに「本当にユーザー入力値入ってこないんだっけ?」なんて判断をいちいち必要としていては時間がいくらあっても足りないので、機械に任せたいところです。

で、 Rails がそんな基本的な部分をカバーしていないはずがない!と思って落ち着いて調べてみたら、やっぱりちゃんと書いてありました

Keys with a '_html' suffix and keys named 'html' are marked as HTML safe. When you use them in views the HTML will not be escaped.

というわけで、 _html で終わる、もしくは html というキー名は自動的に HTML として出力されます。 中に変数がある場合も、きちんとそこだけエスケープ対象にしてくれます。ドキュメントはちゃんと読まないとあかんですね。

今回の場合だと、キーの名前を incoming_message_html に変えてあげれば解決です。

incoming_message_html: '<strong>%{username}</strong>さんからメッセージがあります!'
<%= t 'incoming_message_html', username: @username %>

としてやるだけで、期待した結果が得られます。

tnjさんからメッセージがあります!

もし、 @username に HTML タグが含まれていたとしても、こちらは自動的にエスケープされるので問題ありません。

<script>alert(1);</script>さんからメッセージがあります!

安心して眠れますね!

結論

Rails の I18n は、キーの命名次第でちゃんと HTML も出力できるから、 raw なんて使わなくても大丈夫だよ!

166
Help us understand the problem. What is going on with this article?
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
tnj
世界のスマホアプリ開発の現場を爆速化するための仕組みを作っています。 https://deploygate.com
deploygate
毎日のフィードバックで、アプリ開発をもっと楽しく。DeployGateを運営しています。

Comments

No comments
Sign up for free and join this conversation.
Sign Up
If you already have a Qiita account Login
166
Help us understand the problem. What is going on with this article?