rails_xss プラグインのxss対策だそうです。
Riding Rails: Rails 2.3.12 has been released!
Riding Rails: Rails 3.1.0.rc2 has been released!
詳細はこっち。
Riding Rails: Potential XSS Vulnerability in Ruby on Rails Applications
ざっくり
<%= link_to('hello world', @user).sub!(/hello/, params[:xss]) %>
sub!使った場合に、xssの脆弱性が残るので対応してくれたそうです。
あんまりこういう使い方しないと思うので大丈夫だとは思いますが、updateしておきましょう。
影響範囲
3.1.0.rc1, 3.0.7, and 2.3.11
解決策
to_strをかましましょう。修正ソースもto_strかましてます。
<%= link_to('hello world', @user).to_str.sub!(/hello/, params[:xss]) %>
おまけ
3.1.0.rc2 ANNより
Two weeks from today, we'll either release another rc, or release 3.1.0 final (depending on the reported issues).
