Auto-escaping de HTML em sua aplicação Rails
Um ataque muito comum contra aplicações Web ultimamente é o cross-site scripting (XSS).
Uma das formas de executar esse ataque é aproveitar campos que aceitam a entrada de HTML para inserir links para código malicioso, geralmente em JavaScript ou VBScript. Desta forma, o script de um domínio não confiável é executado no contexto de um site [...]