Как я могу сказать Rails не кодировать специальные символы в строке?

Question

У меня есть это:

"<img src='#{picture.url(:tiny)}'>"

Который выводится так:

 <img src='/system/pictures/2/tiny/Womacdsf.jpg?1294942797'>, <img src='/system/pictures/3/tiny/Womacdsf_3017.jpg?1294942797'>, <img src='/system/pictures/4/tiny/Womacdsf_8012.jpg?1294942797'>, … (8)

Как видите, это кодирование с использованием < и > вместо использования необработанных < и >.

Как я могу сказать Rails, что это не то, что я хочу?

Answer 1

с использованием

<%= image_tag picture.url(:tiny) %>

должно работать

для вашей проблемы вы также можете использовать это

"<img src='#{picture.url(:tiny)}'>".html_safe

Answer 2

У вас есть два варианта. Либо удалите строку, используя raw при печати

<% image_string = "<img src='#{picture.url(:tiny)}'>" %>
<%= raw image_string %>

Или вы можете пометить строку как html_safe

<% image_string = "<img src='#{picture.url(:tiny)}'>".html_safe %>
<%= image_string %>

Answer 3

Если вы используете Rails 3, защита XSS включена по умолчанию. Это означает, что HTML по умолчанию экранирован.

Там, где вы могли когда-то использовать помощник "h" для генерации экранированного HTML, вам это больше не нужно, но вместо этого вам нужно будет использовать "сырой" помощник для предотвращения экранирования.

См. http://asciicasts.com/episodes/204-xss-protection-in-rails-3