JavaEye 掛掉了

還蠻驚訝的，剛剛發現到 JavaEye出現這個畫面。

情況如下

当你访问JavaEye网站的时候，位于JavaEye服务器和你的浏览器中间的某个路由器在返回页面中植入如下代码

也就是說某個 router 會幫你把 response page 植入一個 XSS 的 script，簡直防不慎防。儘管我們可以寫很好的 HTML Filter ，但是掌控權不在你手上就沒輒了。唉，身為 Ruby on Rails 愛好者，我不希望這個優質的 Ruby on Rails 討論區垮掉呀。祝 JavaEye 及早解決問題。

解決方式除了原本網頁所說的

或者您也可以临时采取以下手段避免被感染： 编辑C:\Windows\system32\drivers\etc\hosts，加入一行：127.0.0.1 cool.47555.com

如果網站管理者希望網站早點起來，還有一個狠一點的作法。既然這個 XSS 只對於 IE 發作，可以在 controller/application.rb 加入

if request.env['HTTP_USER_AGENT'] == ' 瀏覽器的判斷'

加以 filter 掉 IE 的 request。相信 JavaEye 的客群應該都有自備 Firefox 可以使用，在這關鍵時刻先撐過再說。

PS.
User Agent 列表

Safari	Mozilla/5.0 (Macintosh; U; PPC Mac OS X; zh-tw) AppleWebKit/418.9.1 (KHTML, like Gecko) Safari/419.3
Firefox MAC	Mozilla/5.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv 1.8.1) Gecko/20061027 Firefox/2.0 (lzyc)
Firefox Windows	Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-TW; rv 1.8.1) Gecko/20061010 Firefox/2.0
Opera 9	Opera/9.02 (Windows NT 5.1; U; zh-tw)
IE 7	Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
IE 6	Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)