Base64 strict-encoded CSRFトークンのWeb安全性は本質的ではないため、取り扱いが困難。たとえば、クライアントが読めるcookieにCSRFトークンを入れてブラウザに送信するという一般的な方法は、そのままでは正しく機能しない。値をURLエンコードおよびデコードして、転送に耐えられるようにする必要がある。
Rails 6.1ではBase64 urlsafe-encoded CSRFを生成する。このトークンの転送は本質的に安全。バリデーションでは、urlsafeトークンの他に、後方互換性のためにstrict-encodedトークンも受け付ける。
Scott Blum, Étienne Barrié
リリースノートChangelogより大意

関連エントリ: Make Base64.urlsafe methods actually urlsafe. by dragonsinth · Pull Request #815 · ruby/ruby
週刊Railsウォッチ「先週の改修」関連エントリ: Base64のstrict_decode64をurlsafe_decode64に変更

PR: Fix nil encrypted/signed cookie value when value is stored as `false` by rolandasb · Pull Request #39452 · rails/rails

action_dispatch.use_cookies_with_metadataを有効にしたときに、署名済みおよび暗号化済みcookieの値にfalseを保存できるように修正。
Rolandas Barysas
リリースノートChangelogより大意

🔗 Action View

commit: Update sanitizer in ActionView::Helpers::SanitizeHelper · rails/rails@21da204

SanitizeHelper.sanitized_allowed_attributesとSanitizeHelper.sanitized_allowed_tagsがsafe_list_sanitizerのクラスメソッドを呼び出すよう修正。
Taufiq Muhammadi
リリースノートChangelogより大意

関連issue: ActionView::Base.sanitized_allowed_tags stop working · Issue #39586 · rails/rails

🔗 Active Record

PR: Better handling of negative elements in enum by ghiculescu · Pull Request #40679 · rails/rails

not_で始まるenum要素のwarningを、not_なしで始まるenum要素が存在してコンフリクトする場合にのみ表示するよう修正。
Alex Ghiculescu
リリースノートChangelogより大意

関連issue: Better handling of negative words in enum · Issue #39065 · rails/rails

PR: load relationship after autosave if it's not already loaded by stevenweber · Pull Request #39754 · rails/rails

autosave済みのhas_one関連付けに対応する関連付けが読み込まれていない場合に読み込むよう修正。
Steven Weber
リリースノートChangelogより大意

関連issue: When using autosave, inverse relationship gets unset during save of parent · Issue #34255 · rails/rails

commit: Reset statement cache for association if table_name is changed · rails/rails@45081c9

table_nameが変更されている場合にstatementキャッシュをリセットするよう修正。
Ryuta Kamizono
リリースノートChangelogより大意

関連issue: Association statement cache cause wrong query after table name changed · Issue #36453 · rails/rails

PR: Type cast extra select for eager loading by kamipo · Pull Request #39795 · rails/rails

masterブランチの型キャストはかなり向上しているので、よく使われる型ではあまり問題にならないが、厳密に言えばeager loadingは（find_by_sqlでもやっているように）データベースのカラム型を尊重すべき。
Ryuta Kamizono
同PRより大意

関連issue: ActiveRecord `eager_load` causes `select` to forget database column type · Issue #39605 · rails/rails

PR: Autosave collection associations exactly once by eugeneius · Pull Request #39771 · rails/rails

コレクション関連付けが複数回autosaveされないよう修正。
Eugene Kenny
リリースノートChangelogより大意

関連issue: Autosaving associations twice in Rails 6.0.3 violates uniqueness · Issue #39173 · rails/rails
週刊Railsウォッチ「先週の改修」関連エントリ: コレクション関連付けがきっかり1度だけオートセーブされるよう修正

PR: Fix issue with expression index in insert_all by austenmadden · Pull Request #39517 · rails/rails

insert_allの:unique_byオプションが式インデックスで使われたときの問題を修正。
ActiveRecord::Persistence.insert_alやActiveRecord::Persistence.upsert_allの:unique_byオプションが式インデックスの名前で使われるとエラーが発生した。:unique_byのフォーマッティング周りの振舞いをガードすることでこの問題が修正される。

# 使い方
create_table :books, id: :integer, force: true do |t|
  t.column :name, :string
  t.index "lower(name)", unique: true
end

Book.insert_all [{ name: "MyTest" }], unique_by: :index_books_on_lower_name

Austen Madden
リリースノートChangelogより大意

関連issue: Expression index raises error when used in insert_all unique_by option · Issue #39516 · rails/rails

PR: Fix preloader to associate preloaded records by default by kamipo · Pull Request #40056 · rails/rails

カスタムスコープを用いるポリモーフィック関連付けのプリロードを修正。
Ryuta Kamizono
リリースノートChangelogより大意

PR: Allow relations with different SQL comments in the `or` method by sinsoku · Pull Request #38172 · rails/rails

orメソッドにSQLコメント付きのリレーションを渡せるようになった。
Takumi Shotoku
リリースノートChangelogより大意

関連issue: Avoid assigning duplicate values to join_values by sinsoku · Pull Request #38145 · rails/rails

PR: Resolve conflict between counter cache and optimistic locking by alipman88 · Pull Request #39316 · rails/rails

カウンタキャッシュと楽観的ロックのコンフリクトを解消。
Active Recordインスタンスのロックバージョンの更新は、カウンタキャッシュの更新後に行うこと。こうすることで、対応するデータベースレコードのlock_versionカラムとのパリティが以後のトランアクションで維持され、不要なActiveRecord::StaleObjectErrorを回避できる。
Aaron Lipman
リリースノートChangelogより大意

関連issue: Counter cache does not work well with optimistic locking · Issue #16449 · rails/rails

PR: Fix through association with source/through scope which has joins by kamipo · Pull Request #39390 · rails/rails

source/throughのスコープでjoinsが使われる場合のthrough関連付けの問題を修正。
Ryuta Kamizono
リリースノートChangelogより大意

関連issue: has_many through associations ignore the joins option of the through association · Issue #33525 · rails/rails

PR: Fix through association to respect source scope for `includes`/`preload` by kamipo · Pull Request #39378 · rails/rails

through関連付けがincludesやpreloadでsourceスコープを扱うよう修正。
Ryuta Kamizono
リリースノートChangelogより大意

関連issue: Included association with unscope does not apply the unscope in has many through · Issue #39376 · rails/rails

PR: Fix eager load with Arel joins to maintain the original joins order by kamipo · Pull Request #39305 · rails/rails

joinsの元の順序が維持されるようArelのjoinsのeager loadingを修正。
Ryuta Kamizono
リリースノートChangelogより大意

関連issue: Eager load order bug with Arel joins after update to Rails 6 · Issue #38354 · rails/rails

PR: Fix group by count with eager loading + order + limit/offset by kamipo · Pull Request #39297 · rails/rails

eager loadingとorderとlimit（またはoffset）したときのcountのGROUP BYを修正。
Ryuta Kamizono
リリースノートChangelogより大意

関連issue: ActiveRecord::Calculations#calculate doesn't respect valid order clasues · Issue #38936 · rails/rails

PR: Fix left joins order when merging multiple left joins from different associations by kamipo · Pull Request #39268 · rails/rails

異なる関連付け間にまたがる複数のleft_joinsをmergeしたときのleft_joinsの順序を修正。
Ryuta Kamizono
リリースノートChangelogより大意

関連issue: The join order of tables has been changed in Rails6 · Issue #38597 · rails/rails

PR: Refactor index creation to use index definition visitor by kamipo · Pull Request #39203 · rails/rails

MySQLのインデックス作成でテーブルのbulk変更時のインデックスコメントを維持するよう修正。
Ryuta Kamizono
リリースノートChangelogより大意

PR: `remove_foreign_key` doesn't care `:validate` option if database has no feature by kamipo · Pull Request #39192 · rails/rails

データベースで機能がサポートされていない場合はremove_foreign_keyの:validateオプションをチェックしないよう変更。
Ryuta Kamizono
リリースノートChangelogより大意

関連issue: db:rollback fails with add_foreign_key validate: false with MySQL in 6.0.3 · Issue #39170 · rails/rails

PR: Fix the result of aggregations to maintain duplicated "group by" fields by kamipo · Pull Request #39174 · rails/rails

重複した"group by"フィールドを維持するよう集約の結果を修正。
Ryuta Kamizono
リリースノートChangelogより大意

関連issue: Different results when grouping by same column in 6.0.3 · Issue #39171 · rails/rails

PR: Ensure array passed to preloader has no duplicate records by object_id by bogdan · Pull Request #39156 · rails/rails

プリロード使用時に重複したレコードを返さないよう修正。
Bogdan Gusiev
リリースノートChangelogより大意

🔗 Active Storage

commit: Generate a preview without print margins · rails/rails@3803671

Poppler PDFプレビューアがプレビュー画像をレンダリングするとき、元のドキュメントのmediaボックスではなくcropboxを使っていたため、印刷のマージンが隠されていた。この修正によって、MuPDFプレビューアと振舞いが一致する。
Vincent Robert
リリースノートChangelogより大意

🔗 Active Support

PR: Fix option not being passed with fetch_multi by deepredsky · Pull Request #39844 · rails/rails

ActiveSupport::Cache::RedisCacheStoreがオプションをread_multiに渡さず、fetch_multi`が正しく動かなくなった問題を修正。
Rajesh Sharma
リリースノートChangelogより大意

PR: Copy options before delegating in with_options by eugeneius · Pull Request #39407 · rails/rails

with_optionsのミューテーションのリーク回避のため、オプションハッシュをコピーするよう修正。
Eugene Kenny
リリースノートChangelogより大意

関連issue: `with_options` and nested routes broken · Issue #39343 · rails/rails

🔗 Railties

PR: Handle paths with trailing slashes in rails test by eugeneius · Pull Request #38814 · rails/rails

rails testに渡す相対パスの末尾にスラッシュを付けられるようになった。
Eugene Kenny
リリースノートChangelogより大意

PR: Expose rack.request_method through request.raw_request_method for Logger by lorennorman · Pull Request #40246 · rails/rails

リクエストで未知のHTTPメソッドが使われた場合に405 Method Not Allowedを返すよう修正。
Loren Norman
リリースノートChangelogより大意

関連issue: ActionController::UnknownHttpMethod does not get automatically rescued as documented · Issue #38998 · rails/rails

TechRachoではRubyやRailsの最新情報などの記事を平日に公開しています。TechRacho記事をいち早くお読みになりたい方はTwitterにて@techrachoのフォローをお願いします。また、タグやカテゴリごとにRSSフィードを購読することもできます（例:週刊Railsウォッチタグ）

速報: Rails 6.1.1がリリースされました

シェア
ツイート
ブックマーク
LINE

X: @hachi8833 GitHub: @hachi8833 コボラー、ITコンサル、ローカライズ業界、Rails開発を経てTechRachoの編集・記事作成を担当。これまでにRuby on Rails チュートリアル第2版のコンテンツ監修、Railsガイドのコンテンツ作成を担当。かと思うと、正規表現の粋を尽くした日本語エラーチェックサービス enno.jpを運営。 Claude Codeに夢中になりすぎないための方法を模索中。 ブログ:note.com/hachi8833、 Amazonウィッシュリスト: https://bit.ly/32aAmiI

Rails 6.0.4がリリースされました

🔗 更新の概要

🔗 Changelogに更新が記載されている機能

🔗 Changelogに更新の記載がない機能

⚓ Action Pack

🔗 Action View

🔗 Active Record

🔗 Active Storage

🔗 Active Support

🔗 Railties

関連記事

Rails: Inertia.jsでRailsのJavaScript開発にシンプルさを取り戻そう（翻訳）

速報: Rails 8.1.0がリリースされました

productionやdevelopment、stagingという言葉の使い分けについて

Rails: テストスイートとCIの実行時間を半分に削減するテクニック集（翻訳）

Solid Queue README -- DBベースのActive Jobバックエンド（翻訳）

Ruby 3.3.10がリリースされました

Rails: さようならRack::BodyProxy、こんにちはrack.response_finished（翻訳）

速報: Rails 8.1.0がリリースされました

ChatGPTのしくみとAI理論の根源に迫る:（10/16）ChatGPTの内部を覗いてみよう（翻訳）

Rails: Inertia.jsでRailsのJavaScript開発にシンプルさを取り戻そう（翻訳）

関連記事

CONTACT

Rails 6.0.4がリリースされました

🔗 更新の概要

🔗 Changelogに更新が記載されている機能

🔗 Changelogに更新の記載がない機能

⚓ Action Pack

🔗 Action View

🔗 Active Record

🔗 Active Storage

🔗 Active Support

🔗 Railties

関連記事

Rails: Inertia.jsでRailsのJavaScript開発にシンプルさを取り戻そう（翻訳）

速報: Rails 8.1.0がリリースされました

productionやdevelopment、stagingという言葉の使い分けについて

Rails: テストスイートとCIの実行時間を半分に削減するテクニック集（翻訳）

Solid Queue README -- DBベースのActive Jobバックエンド（翻訳）

Ruby 3.3.10がリリースされました

Rails: さようならRack::BodyProxy、こんにちはrack.response_finished（翻訳）

速報: Rails 8.1.0がリリースされました

ChatGPTのしくみとAI理論の根源に迫る:（10/16）ChatGPTの内部を覗いてみよう（翻訳）

Rails: Inertia.jsでRailsのJavaScript開発にシンプルさを取り戻そう（翻訳）

関連記事

速報: Rails 8.1.0がリリースされました

Rails 8.1.0.rc1がリリースされました（全項目リンク付き）

速報: Rails World 2025のDHHキーノートとRails 8.1beta1リリース

CONTACT