Кавычка

Ruby забавно парсит JSON стандартным модулем. В него можно писать комментарии!

Например, если серверная часть не проверяет Content-type запроса на application/json, можно сформировать сценарий для CSRF.