Originariamente inviato da Sgurbat
Tnx per l'alert sugli XSS anche se sò che Rails da questo punto di vista offre già una certa protezione se non errro.
beh bisogna saper trattare opportunamente gli input utente, evitando che possa scrivere codice javascript ( e non solo ) che poi viene spedito in output e quindi possa nuocere ad altri utenti

per semplificare alle volte si fa l'escape semplicemente di tutto il codice html in input ( o in output )... diciamo che di base ci sono 2 scuole di pensiero: chi preferisce avere sul database gli input già "corretti" e chi invece preferisce sul db quanto inserito dagli utenti e poi renderlo sicuro quando lo spedisce in output

di base si usa per esempio h(string)... o per una cosa più mirata puoi usare una white list dei tag permessi

poi ci sono bug specifici che intaccano altre parti delle applicazioni http://weblog.rubyonrails.org/2009/9...-ruby-on-rails

consiglio inoltre la lettura di "Agile Web Development with Rails" terza edizione di Sam Ruby, Dave Thomas e David Heinemeier Hansson capitolo 27.5