嵌入式Ruby的Javascript：如何安全地将ruby值分配给javascript变量

我想我会在@ruby_var上使用ruby JSON库来获取字符串的正确js语法并摆脱”，fex：

 res = foo(<%= @ruby_var.to_json %>) 

（在要求“json”之后，不完全确定如何在页面中执行此操作，或者上述语法是否正确，因为我没有使用该模板语言）

（另一方面，如果JSON曾经改变为与js不相容，但是因为有相当数量的代码使用eval（）来评估json，我怀疑这种情况很快就会发生）

Rails有专门用于ActionView :: Helpers :: JavaScriptHelper中名为escape_javascript的任务的方法。

在您的示例中，您将使用以下内容：

 res = foo('<%= escape_javascript @ruby_var %>'); 

或者更好的是，使用j快捷方式：

 res = foo('<%= j @ruby_var %>'); 

 @ruby_var.gsub(/[']/, '\\\\\'') 

这将使用撇号避开单引号，保持您的Javascript安全！

此外，如果你在Rails中，还有一堆特定于Javascript的工具 。

你能把字符串放在双引号中吗？

 res = foo("<%= @ruby_var %>"); 

假设您知道它将是单引号，您也可以使用inspect：

 res = foo(<%= @ruby_var.inspect %>); 

我没有太多使用嵌入式Ruby。 但是如何使用p （调用inspect ）代替<%=可能正在执行print或puts 。 p总是打印字符串，好像它是用双引号括起来的代码：

 >> p "String ' \" String" "String ' \" String" # => nil >> p 'alpha " \' alpha' "alpha \" ' alpha" # => nil 

您可能希望使用以下第一个属性，以摆脱“从您的字符串，然后您可以继续使用您的json函数。

 res = foo('<%= @ruby_var %>.first');