security: エラーメッセージからユーザー入力値を除外（XSS対策）

- エラーメッセージに具体的な入力値を含めない
- '指定された年（値）は無効です' → '指定された年は無効です'
- 現在も.to_iとHTMLエスケープで安全だが、より防御的な実装に
- セキュリティのベストプラクティスに従う

Author: yasulab

app/controllers/dojos_controller.rb

@@ -8,7 +8,7 @@ def index
         year = params[:year].to_i
         # 有効な年の範囲をチェック
         unless year.between?(2012, Date.current.year)
-          flash[:alert] = "指定された年（#{year}）は無効です。2012年から#{Date.current.year}年の間で指定してください。"
+          flash[:alert] = "指定された年は無効です。2012年から#{Date.current.year}年の間で指定してください。"
           return redirect_to dojos_path(anchor: 'table')
         end
 

spec/requests/dojos_spec.rb

@@ -62,7 +62,7 @@
         future_year = Date.current.year + 1
         get dojos_path(year: future_year, format: :json)
         expect(response).to redirect_to(dojos_path(anchor: 'table'))
-        expect(flash[:alert]).to include("無効です")
+        expect(flash[:alert]).to include("指定された年は無効です")
       end
 
       it "handles invalid year strings" do