8
Vorrei usare qualcosa di simile:Come consentire tutti gli attributi oltre a user_id utilizzando strong_parameters?
def answer_params
params.require(:answer).permit!.without(:user_id)
end
A
risposta
11
volontà
questo lavoro?
params.require(:answer).permit!.except(:user_id)
4
Voglio solo mettere questo qui, whitelisting non è ASCIUTTO. Immagina un'API JSON per una voce basata su documenti che potrebbe contenere fino a 100 (o più) attributi (coppie chiave-valore). Generalmente gli unici elementi di cui ti devi preoccupare sono gli attributi che possono incrementare i privilegi come user_id.
+0
È sufficiente isolare la whitelisting dal controller e riutilizzarla in più classi. Questo risolverebbe il problema. – IvRRimUm
Problemi correlati
- 1. consentono tutti gli attributi per gli attributi nidificati
- 2. Serialize array with strong_parameters
- 3. Get * tutti * gli attributi CSS con jQuery
- 4. Come accedere a un utente in Wordpress utilizzando solo user_id
- 5. Come aggiungere spazio dei nomi e prefisso per tutti gli elementi e gli attributi utilizzando XSLT?
- 6. Consentire determinati attributi di stile con ngSanitize
- 7. come non consentire tutti gli URL dinamici robots.txt
- 8. Come consentire a setw applicare a tutti i seguenti stdout?
- 9. molti a molti relazione con gli attributi utilizzando le annotazioni
- 10. XSLT seleziona valori distinti utilizzando gli attributi
- 11. Come ripetere tutti gli attributi in un elemento HTML?
- 12. Come ottengo tutti gli attributi di un modello meno qualche
- 13. Come ottenere l'elenco di tutti gli attributi di un oggetto Java utilizzando l'introspezione BeanUtils?
- 14. come svincolare tutti gli eventi utilizzando jQuery
- 15. Come sopprimere tutti gli avvisi utilizzando MSBuild
- 16. Prestazioni colpite utilizzando gli attributi Informazioni chiamante
- 17. Come consentire a tutti gli URL HTTPS di sincronizzarsi su Android Couchbase Lite
- 18. httpd-xampp.conf: come consentire l'accesso a un IP esterno oltre a localhost?
- 19. Consentire tutti gli URL tranne uno in Spring security
- 20. Core Dati somma di tutti gli attributi di istanze
- 21. Come importare gli attributi utilizzando il profilo avanzato Dataflow
- 22. Rails Rabl - ritorno tutti gli attributi, non appena nominato quelli
- 23. iOS - copia tutti gli attributi NSMutableAttributedString su un'altra NSMutableAttributedString
- 24. Come faccio a elencare tutti gli attributi di un oggetto in Python pdb?
- 25. Non andare a prendere tutti gli eventi utilizzando Graph Api
- 26. Ordina tutti gli attributi di XML nella query SQL utilizzando XQuery
- 27. Selezionate e rimuovete tutti gli attributi dei dati corrispondenti
- 28. Powershell - Non tutti gli attributi XML vengono passati alla pipeline
- 29. Utilizzando jQuery, come posso selezionare gli elementi in base a più attributi dei dati?
- 30. Come ottenere gli attributi valore
Nonostante la soluzione sia corretta, è importante tenere a mente (per quanto riguarda la domanda originale) che si tratta di una soluzione pericolosa. È necessario utilizzare un approccio di whitelist quando si gestiscono attributi consentiti, non blacklist. –
@SimoneCarletti ci sono numerose circostanze in cui un approccio alla lista bianca è davvero eccessivo e la lista nera non è assolutamente pericolosa. Non tutti i modelli rappresentano una significativa minaccia per la sicurezza. La minaccia deve essere valutata caso per caso. –