strip_tagsのXSS脆弱性を直した

strip_tagsメソッドにバグがあり、IE利用時にXSSできてしまう脆弱性があったのを直した。(該当バージョンは2.2.xから2.3.4まで)

XSS Weakness in strip_tags - Ruby on Rails: Security | Google グループ

Ruby1.9の互換性を高めた

1.9との互換性に関するバグがちょっぴり残ってたので直した。

RailsXssプラグインが使えるようになった

Rails3から、erbファイルで自動的に文字列がエスケープされるようになるけど、RailsXssプラグインを使うと2.3.5でも自動エスケープができる。

NZKoz's rails_xss at master - GitHub

XMLパーサとしてNokogiriを選んだときの問題を解消した

Rails2.3からデフォルトのXMLパーサを変更できるようになっていた(それまではREXMLだった)。これまではNokogiriを使ったときにちょっと問題があったけどそれを直した。