@317583395 @ywjno @itomato 夜鸣猪是我维护的 真荣幸，被点名了，赶快出来冒泡，回归组织

有没有讨论组，呼唤组织

挺受鼓动啊，过完年也准备辞职，这一步还是要自己迈的

哦，#25 楼 矫情呢吧，想说我混淆概念因为 Cross-Site Request Forgery，不是 rails 里独有名词，不是解决方案。所以后面理解一定不对，就不用看啦，哈哈，我不介意，个人理解而已

话说，Rails 这个 csrf_meta_tags 使用 jquery-ujs 实现的吧，不加 ujs，或者禁用 javascript，会不会没有 fall back 呢

如果，你用的是 rails 的话，并且按照规矩正常使用的话。不用 ssl 也已经防范了

Rails 是通过 CSRF, 来防范类似伪造 cookie 或者 session 的。

办法就是，

服务器端： 在 application controller 里放 protect_from_forgery 用来检查请求是不是来自，自己服务器生成的表单

客户端： 在 view 里放

csrf_meta_tags

这个呢，会生成一个 csrf-params 一个 csrf-token, 用来发回到服务器验证

# File actionpack/lib/action_view/helpers/csrf_helper.rb, line 7
      def csrf_meta_tag
        if protect_against_forgery?
          %(<meta name="csrf-param" content="#{Rack::Utils.escape_html(request_forgery_protection_token)}"/>
<meta name="csrf-token" content="#{Rack::Utils.escape_html(form_authenticity_token)}"/>).html_safe
        end
      end

那么一般情况下，我们用form_for 或者表单 tag 的时候，这个 csrf 都是自己生成的，都不用担心。服务器端验证也是默认的。

例外的情况是，json api ＋ ajax 请求，要自己注意验证，是不是伪造请求。

protect_from_forgery 可以加参数，就说检查到伪造请求，可以清除 session 或者，产生异常详见

通常情况说的 CSRF 跨站伪造请求的例子是。

你刚刚登录你的银行，做了一笔转账。

收到一个邮件，里面有个图片，

<imgsrc="http://bank.com/transfer.do?acct=MARIA&amount=100000"width="1" height="1" border="0">

如果，你用同一个浏览器打开，不用点击任何，就可以做另外一次转账了。

嗯 postgresql，估计我们也得走 postgresql 啦

Phabricator

要被收购了吧：）

前排赞，辛苦啊

支持，自己团队出来的

@yesmeck 好像有 ios app 可以用

ruby 工会第五次在线活动邀请

时间：北京时间 8 月 17 日，周六晚上 9 点 活动入口：YY 聊天室 39993372

活动内容 新仔： ActiveSuppot::Concern 模块的用法及源码解读 Race: Rails Cache & Model Cache & redis Clark: 如何用 Form Object 重构 Model

报名地址： http://rubyunion.com/activities/4

tech talk 已经进行了几次了，效果还不错，有点经验后，我们慢慢的改进。基本每周 6，晚上都有这个在线活动，入口也一样。 这个 ruby 讨论，有几个目的。其中一个是讨论，面试话题，坚持讨论就会增长。另外一个，是给讲解者动力。 每个话题争取 10 － 15 分钟，话题可以重复讲，主要目的是让参与者受益，讲解者不必特别懂这个话题，主要更有动力自己准备。讲解的过程大家讨论就好。

Race，Ruby 工会 2013/8/13

@AlphaLiu 还有机会

根据第三次活动的反馈，开多了几个练功房，目的和新人赛类似，找个带队的，成立一个小组，一起做任务。

http://rubyunion.com/ongoing

新开的中级练功房，包括 railscast，rails4way，angularjs，还有一个中级任务，模仿和参照标准 gem，做一个 rating gem

小组参战的好处是可以交流，有点动力，希望能有好处和效果

感谢楼上的支持

第三次在线活动，本周六，8 点，参与入口

http://rubyunion.com/activities/2

特别战报 在娱乐和 social 中成长

因为我在主持新人挑战赛的缘故，隔天我就会出个战报，给大家看看整体情况。这次是扩大范围战报对整个工会范围汇报一下情况。

上次说到，在工会里参加活动，就如同加入了现实版的魔兽世界的战争。整体上看，当前我们有三个战役同时进行。比较好的，就是新人挑战赛。工会建设这边，老宋，clark，william 也还有样子。最后一个部分是，入职后的老手，做初级项目，有点散兵游勇，不太成规模。

整体战报，目前为止，工会入职成员超过 25 人。开发最好记录 7/22 的工会成长 73 点，是新人赛启动那天。工会总成长超过 40 点有 8 天，其中三天是，核心人员小迭代上线。剩下 5 天就是这周了。昨天，老宋出了首批原住民奖励 60 人次，我看挺好的。我也建议这首批就是首批，再出就不应该叫首批了。我是想说，为了感谢早期参与工会的成员，这一批就这一批，只要工会还存在你就永远是这么独特的一批，我想以后还会有相应的特权吧。

新人赛这边，情况如下： 整体上这次新人战，让新人的整体成长分全面超越老人。从开始就参赛的四位队员，dany jsvisa diguage edward 分别以 60/36/26/24拿下了开发得分的前五，为工会战争作出举足轻重的贡献。几个核心开发制订的，工会一下阶段的目标是，工会总成长维持在60以上。除了最初加入新人赛的4位成员。老宋，带hellowern也加入进来。kaku，和xiongbo，最近也从头开始，加入战团。

新人挑战往后怎么打？本来我们预期是 2 周搞定，tutorial 的流程。现在看进度是跟不上。有 11 章的内容（新人最佳 dany，也才做到 6 章），而且后面几个章节问题，可以预期会比较多。所以，准备延期到 3-4 周。顺利毕业颁发“第一期毕业生”徽章 毕业的流程是， 完成所有练习程序 自己导师出考核任务题目 隔壁导师出挑战任务题目 这个徽章也没那么好拿，可以预期以后会越来越难。5 周（延期一周，考虑到有变态导师出题过难）毕业不了的就算任务失败。

工会建设方面算是比较平稳吧，老宋做了徽章系统，clark 做了系统公告和职位，william 和新仔做了活动发布参与系统。几个项目一个个做下来，老人们还是比较靠得住的。

为什么说参与工会是加入一场战争。成员的成长是和工会的成长是结合在一起的，拿下更高的成长分，就是工会成长的更快，我们自己成长的更快。我们的敌人是谁？最大的敌人是我们自己，谁阻碍我们成为行业的第一。我们希望随着工会的成长，日积月累，工会里要造就一批卓越的技术高手。这就是工会的历史责任。

想说还很多，时间原因啰嗦到这里。希望大家在工会活动里愉快的成长，彼此鼓励，大家抱团成长就是工会的成长。

race ruby 工会 2013/7/26

@southwolf 老宋，网号@small_fish__ 就你楼上的，和 clark 都是我们工会的核心，主力开发。可挖挖前面的介绍，有提到。

PS: 以后再练习一下，不干码工了，我就可以去写小说了，哈哈

嗯，入职体检，就是 PR 拿到成长分就可以了。是不太好理解，也在考虑怎么能表达的更清楚。seberma 老大，理解是对的，就是，做任务的形式成长吧。

#19 楼 @huntter 确实没怎么更新哈，初衷是给 Ruby 社区多少做点贡献，实际走起来比想象的难啊。

问题多种多样，

1. 大部分是兼职做（包括我自己），能长期坚持就是个问题。
2. 水平参差不齐，照顾不过来。还需要一些能够热心，工会管理的志愿者
3. 自己水平有限是个大问题

还好啦，有几个一起做过几个项目的兄弟，这也就是坚持的动力吧。 也看到不断有热心新人加入进来，就感觉做这个事还是值得的，就是怎么能做好，让大家受益，比较头疼。

最近，我们一方面，在开发工会的维护系统，一方面，对于入职体检通过的成员，组织了团队 PK。就是 2 周之内分别做同一个项目，然后，从几个方面投票，选优胜，自己感觉还比较有意思吧。（继续烦银小广告，详见，https://github.com/bay6/portal，群：220186872）也打算，针对工会成员水平不齐问题，组织一个在线交流，一边是熟手，一边新手。针对一些基本的问题，解决一些问题。比如，如何用 pull request，如何用 has many through polymorphic。也是对双方都有好处的，熟手讲解的过程，就是让自己更清楚的过程。新手，稍微一个点拨，胜过自己看 2 天书（有时 2 天一点不夸张）

就说，还是想如果，能够有一个类似游戏的成长系统，能够给参与者一个，类似，磨级打怪，组队 PK，升级，组团打 BOSS（你的级别够高，项目 profile 够好看，自然会有项目找上你，那就几个人合作，来点外快呗），的类似体验，应该是对于促进成长有好处的。

希望，有热心 Ruby 社区的兄弟加入进来吧。 * 一方面，工会维护系统，需要有丰富开发经验的熟手加入。主要功能模块有，任务分级，成员成长报告，基本勋章系统，基本经验系统，github 深度集成，团队 PK 功能，投票功能

* 一方面，需要有热心的社区维护。就算有系统自己转也不行，还是需要有人员来组织活动，维护。

想到哪说到哪，更新一下状态，谢谢关注哈

80 g
75 gst
65 ls
47 ga
46 gc
39 cd
32 vim
18 rails
14 heroku
13 gd

收了

@tyaccp_guojian 我也这感觉，学了好几年还是新手一样～，呵呵，没关系一起进步吧

@tyaccp_guojian 我 pull request 到你的 repo 了，你接受，合并就看到怎么修改的啦

俺一不小心给你部署了 http://sinatra-mongoid.herokuapp.com user: admin password: password

pull request 了，接收看看修改吧

俺就比较土啦 真不知道还有这个渊源，所以，先有 mustache.js 还是先有 mustache 啊？ http://mustache.github.io/

还有，就是在 sinatra 领域，mustache 前景如何涅

问题还在吗？我也开始关注这个问题了，还希望一起探讨

heavy hitting Rubyist

@small_fish__ heroku 部署修复，redis 的问题

@small_fish__ http://chatter9.herokuapp.com/chatrooms/17 ?

演示地址：sinaSAE: http://6bey.scfapp.com/ heroku: http://bey6.herokuapp.com/