From: Shugo Maeda <shugo@...>
Date: 2012-08-13T12:51:03+09:00
Subject: [ruby-dev:46046] Re: [ruby-core:47138] [ruby-trunk - Bug #6861][Open] ERB::Util.escape_html is not escaping single quotes

前田です。

2012年8月13日 12:35 fujioka <fuj@rabbix.jp>:
>>> (a) エスケープすべき文字がこれで良いのか最近の事情がわからない
>>>      &apos;っていうのは件のパッチの中にないけど「'」のことですか？
>>
>> &apos;の話は、CGI.escapeHTMLの方で'を&apos;に変換しているという話です。
>> HTML4では&apos;は使えないので数値文字参照にした方がよいのではないか
>> という話でした。
>>
> これは &apos; が非推奨なのはセキュリティの観点じゃないんですか？

HTML4で定義されていないからだと理解しています。
XHTMLなら問題ないと思いますが、CGIやERBではXHTMLを仮定できない
のではないでしょうか。

-- 
Shugo Maeda