Tengo una aplicación Rails 4.0.1 que permite la configuración regional como un parámetro de solicitud. Esto es lo que vi cuando probé mi aplicación en Firefox;
http://localhost:3000/pages?locale=en_EN%22%3E%3Cbody%20onload=%22alert%28%27XSS%27%29
¡Así que Firefox ejecuta body = onload cuando la página se procesa, si ejecuto esta solicitud desde el navegador Firefox, lamentablemente alerta a xss en un cuadro de diálogo cuando se carga!
Chrome ni siquiera envía la solicitud y Safari dice que la solicitud falló, lo que es bueno.
No hay nada dañino en el backend, pero esta solicitud afecta terriblemente al lado del cliente.
¿Me falta algo para implementar en mis encabezados de respuesta? ¿Qué hay que hacer para decirle al navegador que no manipule DOM con los parámetros de solicitud?