Xslate の mark_raw は template 側では使わずに、Controller ないし Model で使って欲しい。
ある文字列が、HTML として処理すべきものかどうかは、サーバー側で判断すべき事案であって、マークアップエンジニアが判断すべき事項ではないから、というのが大きい。
「タグがうまく入力できないんですけど」というディレクターからの起票によって、それをマークアップエンジニアがなんとなく TT の | html
はずして XSS 大発生! というような事態は、昭和の時代には多発していたという。
そのような惨事を我々は繰り返すべきではない。
歴史に学ばなくてはならない。