tokuhirom's Blog

Xslate の mark_raw は template に書かない

Xslate の mark_raw は template 側では使わずに、Controller ないし Model で使って欲しい。

ある文字列が、HTML として処理すべきものかどうかは、サーバー側で判断すべき事案であって、マークアップエンジニアが判断すべき事項ではないから、というのが大きい。

「タグがうまく入力できないんですけど」というディレクターからの起票によって、それをマークアップエンジニアがなんとなく TT の | html はずして XSS 大発生! というような事態は、昭和の時代には多発していたという。

そのような惨事を我々は繰り返すべきではない。

歴史に学ばなくてはならない。