Railsでアプリを作る時には「何はなくともまずh()」というのが大原則で、それはよくわかっているのですが、いざ短時間で大量にコードを書くとなると間違いなく全部に入れきるのは難しいですね。
案の定、いくつか「抜け」が出てjavascriptが走ってしまったというのが、今回の顛末。
それから、インラインエディターライブラリ「super_inplace_editor」もエスケープしていなかったので、Ajaxをフィーチャーした編集機能でjavascriptを入力したら走っちゃった…orz
ということで、抜けをフォローしてライブラリにもパッチ当ててとりあえずこれで大丈夫なのではないかと。
もっとも、Rails2.0はセッション情報にアクセスごとの乱数を入れてジャミング掛けているのでクッキー持ってかられたくらいではセッションハイジャックできない仕掛けになってはいるのですが。
(そのおかげでブラウザの「戻る」ボタンを押すと時として正常に動かなかったりするのですが)
Like this post for Del.icio.us?
