大概就是 rails route 都支援 .format 的用法,所以你可以在網址後面加上類似 .json / .xml 之類的東西來做 render 的包裝(其實就是 view 的不同表現而已)
但很多網站開到後面根本都只有 static page,增加 .format 的用法根本就脫褲子放屁唄|||,但這用法卻又是 default 開啟的,而你可以在 route.rb 內把你之前所有的 route 都外包一層
scope format: false do
#source
end
即可,看 rake routes 應該就沒有 .format 的支援才是
anyway 建議上線前檢查過所有的 route 且個 route 不應該有"第二種解釋",除非你知道你在做啥唄,以上
PS : 你可以找很多 rails 網站做"測試"? XD 類似在網址後面加上 .json,就會知道這篇的意思唄,這不一定是漏洞( 事實上已經有過這類的漏洞了||| 但現在應該被解光了 ),但 … 很有趣?然而你不應該讓他這樣有趣下去,如果你是 webmaster 的話 |||