インジェクションとは

webアプリに悪意あるスクリプトやパラメーターを記入し、それが評価されるときの権限で実行される攻撃のこと。

XSS（クロスサイトスクリプティング）

ユーザーに表示させるスクリプトに悪意のあるものを仕掛け、それを表示し実行させることで、任意の操作を行う攻撃のこと。

ex)
コメント機能を使ってコメントする際に<script>alert("hello");</script>を記入した際に、何の対策も行われていない場合はブラウザにスクリプトと判断されhelloというアラートが画面に表示されてしまう。

これが可能であるなら悪意あるスクリプトも実行可能になってしまうということ。

アセットパイプライン

実行速度を早めるためにJSファイル、CSSファイルなどを連結して一気に実行する。

現状の問題

Ajaxコードの具体的な書き方がわからない。
試して行くしかないけど、これはどげんかせんといかん.

豆知識

form_withはデフォルトでajax通信のため、普通にformでデータを送りたい場合はlocal: trueをつける必要がある。