rails3以降のWEBアプリケーションにありがちなXSS - hanagemanの日記ではない明示しなくてもviewでの出力をHTMLエスケープしてくれるので無警戒になってる html_escapeがシングルクォートをエスケープしないという認識がない viewでjavascriptを書くときに埋め込む値をescape_javascriptしてない このあたりの要素が組み合わさるとXSSがうまれやすいという話を書きます。わかってる人にとってはクソみたいな内容なので読む時間がもったいないかもしれません。たとえばjs.erbでこんなふうに書いてたとして var article_id = '<%= @article_id %>'; @article_idが信用できる値だという前提だと問題ないのですが、controllerで @article_id = params[:article][:id] 実はこんなことしてるだけであとは素通しっていう人も、もしかしたらいるかもしれません。要は外から渡
