新手上路，请多包涵

我有

@str = "<b>Hi</b>"

在我的 erb 观点中：

 <%= @str %>

页面上会显示的是： Hi 而我真正想要的是 Hi 。将字符串“解释”为 HTML 标记的 ruby 方法是什么？

编辑：情况

@str = "<span class=\"classname\">hello</span>"

如果我认为我这样做

<%raw @str %>

HTML 源代码是 hello</span > 我真正想要的是 hello （没有转义双引号的反斜杠）。 “取消转义”那些双引号的最佳方法是什么？

原文由 Tim 发布，翻译遵循 CC BY-SA 4.0 许可协议

阅读 508

2 个回答

得票最新

✓ 已被采纳

出于安全原因，建议使用 sanitize 而不是 html_safe 。

 <%= sanitize @str %>

发生的事情是，作为一种安全措施，Rails 正在为您转义您的字符串，因为它可能嵌入了恶意代码。但是如果你告诉 Rails 你的字符串是 html_safe ，它会直接通过。

 @str = "<b>Hi</b>".html_safe
<%= @str %>

或者

@str = "<b>Hi</b>"
<%= @str.html_safe %>

使用 raw 工作正常，但它所做的只是将字符串转换为字符串，然后调用 html_safe 。当我知道我有一个字符串时，我更喜欢直接调用 html_safe ，因为它跳过了不必要的步骤并使发生的事情更清楚。有关字符串转义和 XSS 保护的详细信息在此 Asciicast 中。

原文由 Jacob 发布，翻译遵循 CC BY-SA 4.0 许可协议

 <%=raw @str >

但正如@jmort253 所说的那样，请考虑 HTML 真正属于哪里。

原文由 Michael Stum 发布，翻译遵循 CC BY-SA 3.0 许可协议

撰写回答

推荐问题

子站问答

本篇内容翻译自 Stack Overflow，如果你觉得翻译结果值得改进，欢迎直接编辑修改，感谢你为社区贡献。

相似问题

找不到问题？创建新问题

Ruby on Rails：如何将字符串呈现为 HTML？