Rails 3.0.6がリリースされました。
なんだか!マークが多くてノリノリな感があります。
Riding Rails: Rails 3.0.6 has been released!
ざっくり
auto_linkのXSS対応
auto_linkって使ったことなかったのですが、3系でXSSの脆弱性が残っていたらしいです。
<%= auto_link(params[:content]) %>
paramsに悪意のあるjsなんか入れられた場合、動いちゃうと。
対策
Rails3.0.6へupgradeか、不可ならsanitizeと。
<%= sanitize(auto_link(params[:content])) %>