security: raw() を sanitize_content() に置き換えて XSS 脆弱性を修正

- docs/show.html.erb と podcasts/show.html.erb で raw() を sanitize_content() ヘルパーに変更
- ApplicationHelper に sanitize_content() メソッドを追加し、HTML サニタイズ処理を共通化
- Rails デフォルトに加えて 'center' タグと 'id' 属性を許可してコンテンツを適切に表示
- docs_spec.rb のテスト期待値にも同じサニタイズ処理を適用

Author: nacchan99

app/helpers/application_helper.rb

@@ -48,6 +48,13 @@ def page_lang(lang)
     lang.empty? ? 'ja' : lang
   end
 
+  def sanitize_content(content)
+    sanitize(content, 
+      tags: ActionView::Base.sanitized_allowed_tags + ['center'], 
+      attributes: ActionView::Base.sanitized_allowed_attributes + ['id']
+    )
+  end
+
   # 'inline_' プレフィックスがついたflashメッセージをビュー内で表示するヘルパー
   # inline_alert → alert, inline_warning → warning のように変換してBootstrapのCSSクラスを適用
   def render_inline_flash_messages

app/views/docs/show.html.erb

@@ -9,7 +9,7 @@
 
 <div class='container' style='line-height: 1.9em;'>
   <section class='doc' style='padding: 50px 0px 100px 0px;'>
-    <%= raw @content %>
+    <%= sanitize_content(@content) %>
   </section>
 
   <% if request.path.start_with? '/docs' %>
@@ -22,5 +22,3 @@
     <%= render 'shared/social_buttons' %>
   </section>
 </div>
-
-

app/views/podcasts/show.html.erb

@@ -36,7 +36,7 @@
 
       <iframe class="lazyload" src="https://anchor.fm/coderdojo-japan/embed/episodes/<%= @episode.permalink %>" width="100%" scrolling="no" frameborder="yes" style='margin-bottom: 30px;'></iframe>
 
-      <%= raw Rinku.auto_link(@content) %>
+      <%= sanitize_content(Rinku.auto_link(@content)) %>
     </div>
   </section>
 

spec/requests/docs_spec.rb

@@ -14,6 +14,7 @@
       get doc_path(param)
       doc      = Document.new(param)
       expected = Kramdown::Document.new(doc.content, input: 'GFM').to_html
+      expected = ApplicationController.helpers.sanitize_content(expected)
       expect(response.body).to include(expected.strip)
     end
 
@@ -23,4 +24,4 @@
       expect(response.status).to eq 302
     end
   end
-end 
+end