From: Shugo Maeda Date: 2012-08-13T12:51:03+09:00 Subject: [ruby-dev:46046] Re: [ruby-core:47138] [ruby-trunk - Bug #6861][Open] ERB::Util.escape_html is not escaping single quotes 前田です。 2012年8月13日 12:35 fujioka : >>> (a) エスケープすべき文字がこれで良いのか最近の事情がわからない >>> 'っていうのは件のパッチの中にないけど「'」のことですか? >> >> 'の話は、CGI.escapeHTMLの方で'を'に変換しているという話です。 >> HTML4では'は使えないので数値文字参照にした方がよいのではないか >> という話でした。 >> > これは ' が非推奨なのはセキュリティの観点じゃないんですか? HTML4で定義されていないからだと理解しています。 XHTMLなら問題ないと思いますが、CGIやERBではXHTMLを仮定できない のではないでしょうか。 -- Shugo Maeda