我正在开发一个遗留的 rails 应用程序,并且 Controller 有许多 params.permit! 实例。当在其上运行 Brakeman 扫描时,params.permit! 会打开应用程序以发现大量分配漏洞。
我的问题是 - 绕过这个 params.permit 的最有效方法是什么!漏洞并替换它?
最佳答案
params.permit! 白名单 导致批量分配漏洞的所有属性 。解决此问题的最佳方法是仅将 必要属性 像这样列入白名单
params.permit(:attr1,:attr2..)
更好的是,将
require 与 permit 一起使用params.require(:key).permit(:attr1, :attr2..)
关于ruby-on-rails - Ruby on Rails - 何时使用 params.permit!以及如何更换它,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/52374655/