2015-12-22 14 views
16

Stiamo aggiornando da Rails 4.2.5 per 5.0.0.beta1Rails 5.0.0.beta1 - Generazione di un URL da parametri di richiesta non igienizzati è insicuro

Durante il test ci aspettavamo di vedere una vista indice resi con collegamenti impaginati come prima. Ma ora otteniamo una pagina di errore ArgumentError, ad esempio:

ArgumentError in Transactions#index 
/app/views/kaminari/_paginator.html.erb where line #10 raised: 


<%= paginator.render do -%> 

Generating an URL from non sanitized request parameters is insecure! 

Application Trace | Framework Trace | Full Trace 

app/views/kaminari/_paginator.html.erb:10:in block in _app_views_kaminari__paginator_html_erb___4026289994022119719_69904100316060' app/views/kaminari/_paginator.html.erb:9:in_app_views_kaminari__paginator_html_erb___4026289994022119719_69904100316060' 
app/views/transactions/index.html.erb:2:in `_app_views_transactions_index_html_erb__422882858554400818_60602560' 

Un problema è stato sollevato con kaminari

Su ulteriori indagini ecco la nuova Rails 5.0.0.beta1 codice che ora getta l'errore: actionpack/lib/action_dispatch/routing/url_for.rb

l'aggiunta di questo a config/application.rb 'fissa', ma non una grande idea:

config.action_controller.permit_all_parameters = true 

Invece aggiungendo questo non risolve il problema, non so perché:

config.action_controller.always_permitted_parameters = [:current_page, :page, :total_pages, :per_page, :remote, :paginator] 

risposta

22

Questo sembra essere fissato nel master ramo GitHub, quindi per ora nel file gemma specificare:

gem 'kaminari', :git => "git://github.com/amatsuda/kaminari.git", :branch => 'master' 
+4

Questo ha funzionato, grazie. Una versione più corta tho 'gem" kaminari ", github:" amatsuda/kaminari "'. – Oleander

+0

Kaminari 0.17.0 è stato rilasciato con questa correzione: https://github.com/amatsuda/kaminari/blob/master/CHANGELOG.rdoc#0170 –

Problemi correlati