odeの開発メモ日記

プログラマーやってます。今までの道のり ポケコンbasic→C(DirectX5 ネットやろうぜ)→Perl(ちょろっと)→Java→C#→Ruby→Android(Java)

rails2.3.8のXSSプラグインでlink_toの表示テキストがサニタイズされない問題直ってました

<%= link_to "<b>あいうえお</b>", :action => :index %>

2.3.8+XSSプラグインでbタグを適用したい場合はrawメソッドを呼ぶ

<%= link_to raw("<b>あいうえお</b>"), :action => :index %>

結果
あいうえお


インストール

(2.3.5のときのURLとは違くなってます。railsオフィシャルな場所に。)
gem install erubis
./script/plugin install http://github.com/rails/rails_xss.git


ちなみに旧2.3.5の場合はこうでした。
./script/plugin install git://github.com/NZKoz/rails_xss.git


2.3.8で旧verのプラグインをつい買うと
undefined method `html_safe!' for "":String
というエラーになります。

参考記事

2.3.5時代のlink_toのサニタイズされない問題を書いてる記事
http://d.hatena.ne.jp/h1mesuke/20100226/p1


xssプラグインについての記事
http://d.hatena.ne.jp/saekik/20091209/1260339089