Ruby on Rails: как отобразить строку в виде HTML?

у меня есть

@str = "<b>Hi</b>"

и по моему мнению:

<%= @str %>

Что будет отображаться на странице: <b>Hi</b>когда я действительно хочу Привет . Что такое рубиновый способ «интерпретировать» строку как разметку HTML?

Изменить : случай, когда

@str = "<span class=\"classname\">hello</span>"

Если, на мой взгляд, я делаю

<%raw @str %>

Исходный код HTML - это <span class=\"classname\">hello</spanто, где я действительно хочу <span class="classname">hello</span>(без обратной косой черты, которой не хватает двойных кавычек). Какой лучший способ "убрать" эти двойные кавычки?

ОБНОВИТЬ

По соображениям безопасности рекомендуется использовать sanitizeвместо html_safe. Ссылка на сайт

Происходит то, что в качестве меры безопасности Rails избегает вашей строки за вас, потому что в нее может быть встроен вредоносный код. Но если вы скажете Rails, что ваша строка есть html_safe, она пройдет через нее.

@str = "<b>Hi</b>".html_safe
<%= @str %>

ИЛИ

@str = "<b>Hi</b>"
<%= @str.html_safe %>

Использование rawотлично работает, но все, что он делает, это конвертирует строку в строку, а затем вызывает html_safe. Когда я знаю, что у меня есть строка, я предпочитаю вызывать html_safe напрямую, потому что он пропускает ненужный шаг и проясняет, что происходит. Подробная информация о экранировании строк и защите XSS находится в этом Asciicast .

Используйте сырье :

<%=raw @str >

Но, как правильно говорит @ jmort253, подумайте, где на самом деле принадлежит HTML.

Если вы railsиспользуете Erubis - самый крутой способ сделать это

<%== @str >

Обратите внимание на двойной знак равенства. См. Связанный вопрос на SO для получения дополнительной информации.

Вы также можете использовать simple_format(@str)который удаляет вредоносный код. Подробнее читайте здесь: http://api.rubyonrails.org/classes/ActionView/Helpers/TextHelper.html#method-i-simple_format

Вы смешиваете свою бизнес-логику с вашим контентом. Вместо этого я бы порекомендовал отправить данные на вашу страницу, а затем использовать что-то вроде JQuery, чтобы поместить данные туда, куда вам нужно.

Это дает преимущество, заключающееся в том, что весь ваш HTML-код хранится на тех HTML-страницах, к которым он относится, поэтому ваши веб-дизайнеры могут позже изменить HTML-код без необходимости пролистывать код на стороне сервера.

Или, если вы не хотите использовать JavaScript, вы можете попробовать это:

@str = "Hi"

<b><%= @str ></b>

По крайней мере, так ваш HTML находится на странице HTML, где он принадлежит.

Или вы можете попробовать метод CGI.unescapeHTML .

CGI.unescapeHTML "<p>This is a Paragraph.</p>"
=> "<p>This is a Paragraph.</p>"

поскольку вы переводите и выбираете нужный код из дрянного закодированного файла, можете ли вы использовать content_tag в сочетании с вашим регулярным выражением.

Кража из api docs, вы можете интерполировать этот переведенный код в content_tag как:

<%= content_tag translated_tag_type.to_sym, :class => "#{translated_class}" do -%>
<%= translated_text %>
<% end -%>
# => <div class="strong">Hello world!</div>

Не зная вашего кода, такое мышление сделает ваш переведенный код слишком совместимым.

@str = "<span class=\"classname\">hello</span>" Если, на мой взгляд, я делаю

<%raw @str %> Исходный код HTML - это <span class=\"classname\">hello</span>то, что я действительно хочу <span class="classname">hello</span>(без обратной косой черты, которая экранирует двойные кавычки). Какой лучший способ "убрать" эти двойные кавычки?

Решение: используйте двойные кавычки внутри одинарных кавычек (или одинарные внутри двойных), чтобы избежать обратной косой черты.

@str = '<span class="classname">hello</span>'
<%raw @str %>

Версия html_safe хорошо работает в Rails 4 ...

<%= "<center style=\"color: green; font-size: 1.1em\" > Administrators only </center>".html_safe if current_user.admin? %
>