Wenn folgendes in der View verwendet wird:
<%= auto_link(params[:content]) %>
Kann unter bestimmten Vorraussetzungen über „content“ unerwünschter JavaScript-Code eingeschleust werden.
Um sich gegen diese Lücke zu schützen, ….
- … auf Rails 3.0.6 aktualisiert werden
- … der folgende Patch eingespielt werden: Patch
- … wenn Update oder das Patchen nicht möglich ist, kann händisch das Problem umgangen werden
- <%= sanitize(auto_link(params[:content])) %>
- bei vertrauenswürdigen Quellen
<%= raw(auto_link(params[:content])) %>
Weitere Details zu dem Release findet ihr unter folgendem Link: –> Link