Railsノート - link_to <string> は安全か? - Alone Like a Rhinoceros Hornredirect_to に引き続き、こっちも気になったので調べてみた。link_to は渡された String をサニタイズするか? それとも、それはこちらでやるべきなのか? リファレンスには相変わらず書いてないので、ソースを見る。ググったらわかるようなことだと思うのだが、ソースを読んだ方が調べる過程が面白くていいのだ。勉強にもなるし。 結論から言うと、link_to にユーザーからの入力値を含む String を渡すときはこちら側の責任できっちりサニタイズする必要がある。(参照している Rails のバージョンは 2.3.5) # actionpack/lib/action_view/helpers/url_helper.rb def link_to(*args, &block) if block_given? options = args.first || {} html_option
