8
chciałbym użyć czegoś takiego:Jak zezwolić na wszystkie atrybuty oprócz user_id przy użyciu strong_parameters?
def answer_params
params.require(:answer).permit!.without(:user_id)
end
A
Odpowiedz
11
to będzie działać?
params.require(:answer).permit!.except(:user_id)
4
Po prostu chcę to tutaj umieścić, biała lista nie jest sucha. Wyobraź sobie interfejs API JSON dla wpisu opartego na dokumencie, który może mieć do 100 (lub więcej) atrybutów (pary wartości klucza). Ogólnie rzecz biorąc, jedyne elementy, których potrzebujesz, to atrybuty, które mogą eskalować uprawnienia takie jak user_id.
+0
Wystarczy wyizolować białą listę z kontrolera i ponownie użyć go w wielu klasach. To naprawi problem. – IvRRimUm
Powiązane problemy
- 1. Jak ukryć wszystkie elementy oprócz jednego przy użyciu jquery?
- 2. Wszystkie wbudowane atrybuty .Net
- 3. Usuń wszystkie oprócz pierwszego elementu na liście
- 4. Serialize array with strong_parameters
- 5. Jak dopasować wszystkie alfabet oprócz kilku?
- 6. Zamknij wszystkie karty oprócz aktywnego?
- 7. mocne parametry zezwalają na wszystkie atrybuty zagnieżdżonych atrybutów
- 8. Jak wyliczyć wszystkie zdjęcia na iOS 8 przy użyciu ALAssetsLibrary
- 9. Jak pobrać tylko wybrane atrybuty jednostki przy użyciu Spring JPA?
- 10. Jak odzyskać HTML5 data- * atrybuty przy użyciu C#
- 11. W .htaccess, przekierowuj wszystkie domeny oprócz jednego
- 12. httpd-xampp.conf: Jak zezwolić na dostęp do zewnętrznego adresu IP oprócz localhost?
- 13. MySQL USUŃ wszystkie oprócz najnowszych rekordów X
- 14. Podział na wszystkie oprócz pustych grep zwraca pusty wektor
- 15. Szyny - Blokuj wszystkie oprócz określonego adresu IP
- 16. BASH skopiuj wszystkie pliki oprócz jednego
- 17. Niestandardowe atrybuty na ActionResult
- 18. nginx przekierowuję wszystkie katalogi oprócz jednego
- 19. Jak zezwolić na niejawną konwersję?
- 20. Jak zezwolić użytkownikom na logowanie chronionego pliku flask-rest-api w Angularjs przy użyciu uwierzytelniania HTTP?
- 21. eksport svn wszystkie oprócz niektórych katalogów
- 22. Znajdź wszystkie indeksy pozycji na liście przy użyciu strumienia API
- 23. Określ unikalne atrybuty modeli dziecko w szynach przy użyciu STI
- 24. Jak przejść przez wszystkie, oprócz ostatniego elementu listy?
- 25. jak odczytać facebook signed_request, aby uzyskać user_id
- 26. Jak uzyskać user_id numeru telefonu w telegramie
- 27. Atrybuty niestandardowe monodroid/xamarin są puste przy użyciu opcji ObtainStyledAttributes
- 28. Jak mogę zezwolić użytkownikowi na ponowne sortowanie elementów na liście?
- 29. Zmień nazwę znacznika, ale zachować wszystkie atrybuty
- 30. Usuń wszystkie atrybuty elementu na podstawie białej listy
Mimo że rozwiązanie jest prawidłowe, należy pamiętać (w odniesieniu do pierwotnego pytania), że jest to niebezpieczne rozwiązanie. Powinieneś stosować podejście białej listy, gdy masz do czynienia z dozwolonymi atrybutami, a nie z czarną listą. –
@SimoneCarletti Istnieje wiele okoliczności, w których podejście oparte na białej liście jest naprawdę przesadne, a umieszczanie na czarnej liście nie jest w żaden sposób niebezpieczne. Nie każdy model stanowi poważne zagrożenie bezpieczeństwa. Zagrożenie należy oceniać indywidualnie dla każdego przypadku. –