From: fujioka Date: 2012-08-13T20:51:31+09:00 Subject: [ruby-dev:46048] Re: [ruby-core:47138] [ruby-trunk - Bug #6861][Open] ERB::Util.escape_html is not escaping single quotes 藤岡です。 > 2012年8月13日 12:35 fujioka : >>>> (a) エスケープすべき文字がこれで良いのか最近の事情がわからない >>>> 'っていうのは件のパッチの中にないけど「'」のことですか? >>> >>> 'の話は、CGI.escapeHTMLの方で'を'に変換しているという話です。 >>> HTML4では'は使えないので数値文字参照にした方がよいのではないか >>> という話でした。 >>> >> これは ' が非推奨なのはセキュリティの観点じゃないんですか? > > HTML4で定義されていないからだと理解しています。 > XHTMLなら問題ないと思いますが、CGIやERBではXHTMLを仮定できない > のではないでしょうか。 > escapeHTMLとはなんなのか?という問題に行き着くかと思います。 私も途中からcgiライブラリをメンテナンスしているので、 過去のことはちょっとわからないのですが、 escapeHTMLとかはHTMLの最新版を提供するものかなぁとか 勝手に思っていました。 なので、HTML5に全部合わせるタイミングでHTML4をバッツリ切って やるのがいいのかなと思っていました。 ' から ' へ変更するだけでいいんですかね。