Ruby on Rails：如何将字符串呈现为HTML？

我有

@str = "<b>Hi</b>"

在我的erb视图中：

<%= @str %>

页面上将显示：<b>Hi</b>当我真正想要的是Hi时。将字符串“解释”为HTML标记的红宝石方法是什么？

编辑：的情况下

@str = "<span class=\"classname\">hello</span>"

如果我认为

<%raw @str %>

HTML源代码是<span class=\"classname\">hello</span>我真正想要的位置<span class="classname">hello</span>（没有转义双引号的反斜杠）。“取消转义”双引号的最佳方法是什么？

更新

出于安全原因，建议使用sanitize代替html_safe。链接

发生的事情是，作为一种安全措施，Rails正在为您转义您的字符串，因为其中可能嵌入了恶意代码。但是，如果您告诉Rails您的字符串是html_safe，它将直接通过。

@str = "<b>Hi</b>".html_safe
<%= @str %>

要么

@str = "<b>Hi</b>"
<%= @str.html_safe %>

使用的raw效果很好，但要做的只是将字符串转换为字符串，然后调用html_safe。当我知道我有一个字符串时，我更喜欢直接调用html_safe，因为它跳过了不必要的步骤，使事情更清晰。有关字符串转义和XSS保护的详细信息，请参见此Asciicast。

使用原始：

<%=raw @str >

但是，正如@ jmort253正确说的那样，请考虑HTML真正所属的位置。

如果您正在rails使用Erubis，最酷的方法是

<%== @str >

请注意双等号。有关更多信息，请参见 SO的相关问题。

您还可以使用simple_format(@str)删除恶意代码。在此处阅读更多信息：http : //api.rubyonrails.org/classes/ActionView/Helpers/TextHelper.html#method-i-simple_format

您正在将业务逻辑与内容混合在一起。相反，我建议将数据发送到您的页面，然后使用诸如JQuery之类的数据将数据放置在需要的地方。

这具有将所有HTML保留在它所属的HTML页面中的优势，因此您的Web设计人员可以在以后修改HTML而不用倒入服务器端代码。

或者，如果您不想使用JavaScript，则可以尝试以下操作：

@str = "Hi"

<b><%= @str ></b>

至少以这种方式，您的HTML位于它所属的HTML页面中。

或者，您可以尝试CGI.unescapeHTML方法。

CGI.unescapeHTML "<p>This is a Paragraph.</p>"
=> "<p>This is a Paragraph.</p>"

由于您正在翻译，并且从一个人的s脚的编码文件中选择了想要的代码，您是否可以将content_tag与正则表达式结合使用？

您可以从api文档中窃取此翻译后的代码，content_tag例如：

<%= content_tag translated_tag_type.to_sym, :class => "#{translated_class}" do -%>
<%= translated_text %>
<% end -%>
# => <div class="strong">Hello world!</div>

不知道您的代码，这种想法将确保您翻译的代码过于合规。

@str = "<span class=\"classname\">hello</span>" 如果我认为

<%raw @str %> HTML源代码是<span class=\"classname\">hello</span>我真正想要的地方<span class="classname">hello</span>（不带转义双引号>的反斜杠）。“取消转义”双引号的最佳方法是什么？

解决方案：在单引号内使用双引号（或在双引号内使用单引号），以避免使用反斜杠转义。

@str = '<span class="classname">hello</span>'
<%raw @str %>

html_safe版本在Rails 4中运作良好...

<%= "<center style=\"color: green; font-size: 1.1em\" > Administrators only </center>".html_safe if current_user.admin? %
>