今日は ERB がシングルクオートをエスケープしないという問題の修正がありました。
shugo:r36687 2012-08-13 13:17:00 +0900
ERB のエスケープ処理がシングルクオートをエスケープしないことがセキュリティ上の問題となるため、独自のエスケープ処理していたところを CGI.escapeHTML を利用するように変更しています。 ちなみに CGI.escapeHTML でのシングルクオートのエスケープも r36422 で比較的最近追加されたものですが、 ' にエスケープされていて、これは HTML4 だと存在しないため、近いうちに ' に変更されるそうです。 [ruby-core:47138] [Bug #6861]
svn:r36688 2012-08-13 13:17:05 +0900
version.h の日付更新。
