Ruby: Erb 記法

Ruby のコードをここで実行

<% コード %>

Ruby のコードを実行して結果をその場に出力

<%= コード %>

コメント

<%# コード %>

 

■ Rails module (ERB::Util)

Rails を使っていれば ERB::Util モジュールが入っているので、以下のメソッドが使える。

HTML エスケープする

<%= html_escape('<html escape>') %>
<%= h('1 < 3 && a > 2') %>

JSON エスケープする (XSS 脆弱性対策)

<script>
  var currentUser = <%= raw json_escape(@user.to_json) %>;
</script>