Brakeman Error – 未转义的模型属性
我得到了很多错误,如下所示
Unescaped model attribute near line 20: show_errors(Objective.new(objective_params), :name)
扩展视图
这是我的代码
module ApplicationHelper # Error Helper for Form def show_errors(object, field_name) if object.errors.any? && object.errors.messages[field_name][0].present? "" else return "" end end end
来自Brakeman Cross Site Scripting docs:
默认情况下,当参数或cookie值用作方法的参数时,Brakeman也会发出警告,其结果输出未转义为视图。
例如:
<%= some_method(cookie[:name]) %>
这引发了一个警告:
Unescaped cookie value near line 5: some_method(cookies[:oreo])
但是,此警告的置信度将较弱,因为它不直接输出cookie值。
最后的陈述可能很重要。 如果您确定您的值已进入视图转义,则可能会忽略/禁用此警告。
- 未封闭的img标签问题
- Windows 7上的Paperclip :: Errors :: NotIdentifiedByImageMagickError
- 来自Rails form_for的params散列的自定义名称
- 在Windows 7 x64上的任何源中找不到linecache19-0.5.13
- 类的最高级别不匹配CommentsController(TypeError),重命名的最佳方法是什么?
- Ruby:如果它不在数组B中,如何从数组A中删除项目?
- 配置Warden以用于RSpec控制器规范
- 目前最受欢迎的Ruby on Rails AUTHORIZATION gem / plugin?
- 将rails表上的ruby数据分配给javascript变量