rails commit log流し読み(2023/03/14) - なるようになるブログ

2023/03/14分のコミットです。

CHANGELOGにのったコミットは以下の通りです。

actionpack/lib/action_dispatch/middleware/ssl.rbの修正です。

Rack 3でcookieが複数指定されている場合に、ActionDispatch::SSL middlewareのcookieのパース処理がエラーになってしまうバグがあったのを修正しています。

GitHub Actionsの修正です。

main branchのテストがfailした場合に、discordに通知するよう修正しています。

activesupport/lib/active_support/core_ext/string/output_safety.rbの修正です。

信頼されていないユーザー入力を使用して、SafeBufferでRuby 3.2で追加されたbytespliceメソッドを使用した場合にHTMLのエスケープ処理が実行されない脆弱性があったのを修正しています。CVE-2023-28120。

rails-ujsの修正です。

data-method、data-remote、data-disable属性を含む不正なHTMLコンテンツをクリップボードから貼り付けた場合に、XSSが出来てしまう可能性がある脆弱性を修正しています。CVE-2023-23913。

activerecord/lib/active_record/connection_adapters/abstract/schema_statements.rbのdocの修正です。

create_tableメソッドのdoc内のタイポを修正しています。

railtiesの修正です。

middlewareコマンドを実装するのにrake taskを使用していたのを、Thorを使用するよう修正しています。

railties/lib/rails/generators/rails/app/templates/Gemfile.ttの修正です。

RubyGems 3.3.16以上を使用している場合のときのみ、rails newで生成するGemfileにprerelease Rubyのバージョンの指定が行えるよう修正しています。

railties/lib/rails/generators/app_base.rb、 railties/lib/rails/generators/rails/app/templates/Gemfile.ttの修正です。

Ruby versionの取得処理をメソッドに切り出しています。

activerecord/lib/active_record/delegated_type.rbの修正です。

delegated_typeで使用するobjectのtypeのcolumnをカスタマイズ出来るよう修正しています。デフォルト(role +_type)から変更したい場合、delegated_typeメソッドのforeign_type`オプションを指定すれば良いようになっています。