Оператор h () - это способ предотвратить межсайтовый скриптинг, который является уязвимостью, которой могут подвергаться сайты при отображении данных, которые когда-то вводили пользователи. H () был необходим для Rails 2.x, но он был установлен по умолчанию в Rails 3, поэтому, если вы используете Rails 3, вам вообще не нужно использовать h ().
Вот некоторые подробности от Райана Бейтса и Аскикаста:
http://asciicasts.com/episodes/204-xss-protection-in-rails-3