Ruby on Railsがクロスサイトスクリプティング対応で、パッチを出したとのこと。またRailsXssプラグインでエスケープ処理を自動実行するようになったとのこと。

オープンソースWebアプリケーション・フレームワーク「Ruby on Rails」の開発コミュニティは現地時間2009年11月30日，最新版「2.3.5」をリリースしたと発表した。1件のセキュリティ修正と数件のバグ修正を施した。旧版2.3.xとの互換性を維持しており，Ruby用パッケージ管理ツール「RubyGems」を使うと簡単にアップデートできるという。
最新版で「strip_tags」関数のセキュリティ問題を直した。この問題は制御用ascii文字を処理する「HTML::Tokenizer」内に存在し，strip_tags使用アプリケーションと「Internet Explorer（IE）」の組み合わせでクロスサイト・スクリプティング（XSS）攻撃に対するぜい弱性を生じさせていた。また，バグ修正でスクリプト言語「Ruby 1.9」に対する互換性を高めた。
最新版は「RailsXss」プラグインに対応し，XSS攻撃回避のために行うHTMLデータのエスケープ処理が自動実行できるようになった。さらに，XMLパーサー「Nokogiri」の使用にともなうバグを修正した。

Ruby on Rails最新版「2.3.5」，XSS攻撃対策のセキュリティ修正 | 日経 xTECH（クロステック）