ならんのですよ。
入力したのがHTMLなんでやっぱりそのままタグが出てしまうわけです。
としたり顔で書いてますが、さっき気づきました。
んで、
Sanitize gem: whitelistベースのsanitizerのインストール、設定と使い方
http://memo.yomukaku.net/entries/137
をインスコしてみる。
わりと簡単。
でも、ブログ通りにやるとうまくいかにゃい。<%= raw(Sanitize.clean(対象のhtml文字列, オプションのhash)) %>
とするとうまくいった。Rail3では、h() がなくても自動的にエスケープされるとか。それが原因なんでしょうかね？