I18n.tでHTMLを出力するのにrawやhtml_safeを使ってはいけない - Qiita

みたいなのを書くわけですが、このままだと html_safe でないので自動的にエスケープされてしまいます。 <strong>tnj</strong>さんからメッセージがあります！ 悲しい！ 正しい HTML の含み方 この問題に直面した Rails I18n 初級者は、「じゃーエスケープ避けてそのまま出力させるしかなくない？」と、 raw だったり html_safe を付けてしまいがちです。 でもそうなると、もし @username にタグが含まれていた場合もエスケープされずに出力されてしまうので、簡単に XSS を引き起こしてしまいます。「ここはユーザー入力値は入らないから大丈夫だよ！」は絶対守り切れないし、変数を必要とするたびに「本当にユーザー入力値入ってこないんだっけ?」なんて判断をいちいち必要としていては時間がいくらあっても足りないので、機械に任せたいところです。 で、 Rai

[rinsuki]

やばい

[akatakun]

_htmlで終わるキーは自動的に変数以外をHTMLエスケープしてくれる

[kiyo_hiko]

すごくいい！

[mktakuyax]

裏テク感がすごい

[EnnuimaZ]

"_html で終わる、もしくは html というキー名は自動的に HTML として出力されます" 知らなかったすごい!!!

[kattton]

うはー便利だ

[ryonext]

ありがたい

[nabinno]

_html

[mabots]

_html も意図した使い方をすべき

[d4-1977]

知らなかった！

[kazuph1986]

rawではなく_htmlの方がセキュア。

[kasumani]

I18n.tでHTMLを出力するのにrawを使ってはいけない Rails で構築された多言語対応のサイトで、 I18n を使っているときに、翻訳メッセージに HTML を含みたくなることがあります。 これを表示するときは、 View のテンプレートで、