28. Accesos no autorizados
class DraftsController < ApplicationController
def show
@draft = current_user.drafts.find(params[:id])
end
def destroy
@draft = current_user.drafts.destroy(params[:id])
end
end
# => Solo el autor del borrador puede verlos y borrarlos
37. no tengas miedo de escribir
tests que prueben la seguridad
def test_should_avoid_xss_from_search_query
get :search, :q => '<script id=quot;injectionquot;>alert();</script>'
assert_no_tag :script, :attributes => {:id => 'injection' }
end