Rails 2系のXSS脆弱性がRuby 1.9では影響なしとされる理由 - 岩本隆史の日記帳(情報元のブックマーク数)
すげぇええええ詳しいRoRのクロスサイトスクリプティング脆弱性の対応方法についての解説
つまり、Ruby 1.8の環境にパッチを適用すると、escape_onceメソッドでの出力時に、不正バイトがサニタイズされるようになる、ということです。
Rails 2系のXSS脆弱性がRuby 1.9では影響なしとされる理由 - 岩本隆史の日記帳(アーカイブ)
入口ではバリデーションされない
大垣さんの前掲記事でも、徳丸さんの記事でも、入口でのバリデーションが推奨されていて、私もだんだんその見解になびいてきているのですが、それはともかくRailsでは、入口でのバリデーションは行われません。これは、パッチを当てても変わりませんでした。