Saat ini terdapat celah keamanan Cross-Site Scripting (XSS) ditemukan pada method dari Rails bernama strip_tag(). Celah keamanan ini memungkinkan terjadinya serangan terhadap pengguna peramban Internet Explorer. Permasalahan ini disebabkan oleh HTML::Tokenizer yang memiliki bug saat melakukan parsing terhadap non-printable karakter ASCII.

Berdasarkan rorsecurity yang mengacu pada laporan pada google group rubyonrails-security, celah keamanan ini telah diperbaiki pada Rails 2.3.5 dan versi 2.2.x. Celah keamanan ini tidak berpengaruh pada aplikasi yang tidak menggunakan method strip_tag(). Jadi sangat disarankan untuk upgrade jika terdapat pemanggilan strip_tag() pada aplikasi Ruby on Rails yang dibuat.

Hasil dari method strip_tag() dapat melewati fungsi escaping pada Rails yang umumnya dipakai pada <%= h(strip_tag(...)) %>