2022/04/27分のコミットです。
CHANGELOGにのったコミットは以下の通りです。
Fix and add protections for XSS in names.
Action View、Active Supportの修正です。
tag helperのtag attributesのkeyにユーザが入力した信頼出来ない値をそのまま指定しているような場合に、XSS出来てしまう可能性があったのを修正しています。
check_box_tag('thename', 'thevalue', false, aria: { malicious_input => 'thevalueofaria' }) # "malicious_input"に不正な値が指定された場合にXSS出来てしまう
参考: [CVE-2022-27777] Possible XSS Vulnerability in Action View tag helpers
Improve upgrade guide section on cookies rotator (#44967)
rails guideのUpgrading Ruby on Railsの修正です。
Key generator digest class changing to use SHA256の項にあるcookie rotatorのexampleコードに、signed cookieを使用している場合の対応方法のコードを追加しています。
