2018/01/06分のコミットです。
CHANGELOGにのったコミットは以下の通りです。
activestorage/CHANGELOG.md
Force content disposition to attachment for specific content types
Active Storageの修正です。
service_url
メソッドのdisposition
オプションのデフォルトが:inline
になっていたのを、inlineで表示すべきではないファイル(text/html
やapplication/x-shockwave-flash
等々)は:attachment
として扱うよう修正しています。
htmlやjavascriptはinlineで表示してしまうと、XSSが実行されてしまう可能性がある為。デフォルトを:attachment
として扱いたいcontent typeはconfig.active_storage.content_types_to_serve_as_binary
で指定可能になっています。