From: fujioka <fuj@...>
Date: 2012-08-13T12:37:35+09:00
Subject: [ruby-dev:46044] Re: [ruby-core:47138] [ruby-trunk - Bug #6861][Open] ERB::Util.escape_html is not escaping single quotes

xibbarこと藤岡です。

> 2012年8月13日 11:38 Shugo Maeda <shugo@ruby-lang.org>:
>>> (a) エスケープすべき文字がこれで良いのか最近の事情がわからない
> 
> <script>要素の中とかでは当然不十分だと思いますが、そういう特殊な
> 文脈以外ではこれくらいでいいのかなという気がします。
> 
> https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet#RULE_.231_-_HTML_Escape_Before_Inserting_Untrusted_Data_into_HTML_Element_Content
> 
> だと/もエスケープすべきとしているんですが、必要ですかねえ?
> 単体で終了タグとみなされることはないので<>がエスケープされて
> いれば十分な気がするのですが。
> 
cgi.rbの方では / はエスケープするつもりなかったです。

' -> &apos;
の数値への変更に関してはもう少々お待ち下さい。
これは入れるつもりです。