http://fannaoji.herokuapp.com/
那位说我网站简陋的哥们,你的评论是我的网站的第一个访客评论,谢谢 you made my day
看到了无数个试图注入的 似乎失败了
看到页面 更烦恼了..
恩原来是可以注入的,实在烦得不行了才过滤
哈哈
我很好奇 rails 是带防注入的
我也不知道用了.html_safe 然后以为没事了,不知道为什么还是可以注入,然后用了 sanitize 才没事
https://stackoverflow.com/questions/23659892/ruby-on-rails-difference-between-html-safe-and-sanitize
貌似我以前也踩过这个坑...html_safe 用来标记字符串是安全的,不用转义......而不是把原字符串转换成安全字符串。
明白了,谢谢
恩,现在明白了,谢谢
这界面够乱