What have you found for these years?

2010-05-24

rails 2.3.6 and 2.3.7

大爆炸,我很不爽。這啥鬼 xss 功能,居然把 escape_html 搞爛。
真是太聰明了,如果是 safe string 則 escape 毫無反應,
偏不讓你 escape... 啥鬼啊。

所以我得自己寫 escape function 嗎!?
喂喂,2.3.5 => 2.3.6 搞這什麼鬼功能??這應該是 2.4 吧??
真的要昏倒了。

updated 19:58
好險有簡單的 workaround, 就是 string.to_str 就能 escape 了。
注意是 to_str 喔,不是 to_s, to_s 的結果只是 self, 不能轉 string.
所以就是把原本的 h string 改成 h string.to_str 就行了...

updated 20:15
不行了,決定降回 2.3.5, 根本不能用,整個 partial 居然被 escape 掉。
啥鬼啊??應該是 bug 吧?錯把 safe string 當成 unsafe,
可能跟 erb 也有關係吧?裡面是有很多 to_str ...

很誇張耶,居然出了一個有這麼明顯問題的版本...

0 retries:

Post a Comment

Note: Only a member of this blog may post a comment.



All texts are licensed under CC Attribution 3.0