From: fujioka Date: 2012-08-13T12:35:08+09:00 Subject: [ruby-dev:46043] Re: [ruby-core:47138] [ruby-trunk - Bug #6861][Open] ERB::Util.escape_html is not escaping single quotes xibbarこと藤岡です。 >> (a) エスケープすべき文字がこれで良いのか最近の事情がわからない >> 'っていうのは件のパッチの中にないけど「'」のことですか? > > 'の話は、CGI.escapeHTMLの方で'を'に変換しているという話です。 > HTML4では'は使えないので数値文字参照にした方がよいのではないか > という話でした。 > これは ' が非推奨なのはセキュリティの観点じゃないんですか? >> また、エスケープするサブルーチンをRubyで用意してそれをERBやCGIが呼び出すよう >> なのはどうなんでしょうか。これは言語が備える機能ではないような気もするけど、 >> Cで書いてあったらなんだか速そう。 > > Cで書く必要はない気もしまが、CGIと同じコードがあるのはちょっと嫌ですねえ。 > ERBの方でcgi/utilをrequireするのはまずいですか? > 同じく、Cだったらrubygemsのライブラリで上書きしてもらって 速度を上げればいいんじゃないかと思っています。 ERB側がどう対応するかはおまかせで。