[Rails]ビューで配列を改行するなら脆弱なjoinではなくsafe_joinにしよう|TechRacho by BPS株式会社こんにちは、hachi8833です。小ネタなのでQiitaに書こうかと思いましたが、こちらにしました。 Railsのビューテンプレートで配列の内容を改行brで区切って縦に一覧表示したいとき(普通ならulを使うところですがあえてbrにしています)、こんなコードを最初書いてみました。なおビューではhamlを使用しています。 #コントローラ @my_array = ['太郎', '次郎', '花子'] #ビュー =@my_array.join('<br/>').html_safe が、書いてみてすぐ、このコードが脆弱なため使えないことに気付きました。ここで@my_arrayはユーザーが入力した内容をDBから取り出したものなので、ユーザー入力に悪意のあるタグが含まれていたらXSS脆弱性が発現してアウトです。ビューでユーザー入力にhtml_safeをかけるのは禁じ手です。 何かスマートな方法はないか
![[Rails]ビューで配列を改行するなら脆弱なjoinではなくsafe_joinにしよう|TechRacho by BPS株式会社](https://cdn-ak-scissors.b.st-hatena.com/image/square/bd987619385f6a5a8cb7a352c74a583c1605d218/height=288;version=1;width=512/https%3A%2F%2Ftechracho.bpsinc.jp%2Fwp-content%2Fuploads%2F2013%2F04%2Frails.png)
