security: _dojo.html.erb 内の dojo.url を安全化して XSS を防止

Author: nacchan99

app/models/dojo.rb

@@ -89,6 +89,19 @@ def active?
   def active_at?(date)
     created_at <= date && (inactivated_at.nil? || inactivated_at > date)
   end
+
+  # URLの安全性をチェックして、安全なURLを返す
+  def safe_url
+    return '#' if url.blank?
+  
+    # URI.parseがエラーになるか、HTTPスキームでない場合は'#'を返す
+    begin
+      uri = URI.parse(url)
+      uri.scheme&.match?(/\Ahttps?\z/) ? url : '#'
+    rescue URI::InvalidURIError
+      '#'
+    end
+  end
 
   # 再活性化メソッド
   def reactivate!

app/views/shared/_dojo.html.erb

@@ -1,9 +1,9 @@
 <li class="dojo" id="<%= dojo.name %>">
   <header>
-    <%= link_to lazy_image_tag(dojo.logo, alt: "CoderDojo #{dojo.name}", class: 'dojo-picture'), dojo.url,
+    <%= link_to lazy_image_tag(dojo.logo, alt: "CoderDojo #{dojo.name}", class: 'dojo-picture'), dojo.safe_url,
               target: "_blank", rel: "external noopener" %>
     <span class="dojo-name">
-      <%= link_to "#{dojo.name} (#{dojo.prefecture.name})", dojo.url, target: "_blank", rel: "external noopener" %>
+      <%= link_to "#{dojo.name} (#{dojo.prefecture.name})", dojo.safe_url, target: "_blank", rel: "external noopener" %>
       <% if not dojo.counter == 1 %>
         <span class="dojo-counter"
               data-original-title="道場数"