Tag: sanitize

Rails 5.0.0.beta1 – 从非清理的请求参数生成URL是不安全的: 我们正在从Rails 4.2.5升级到5.0.0.beta1 在测试时，我们希望看到像以前一样使用分页链接呈现的索引视图。但是我们现在得到一个ArgumentError错误页面，例如： ArgumentError in Transactions#index /app/views/kaminari/_paginator.html.erb where line #10 raised: Generating an URL from non sanitized request parameters is insecure! Application Trace | Framework Trace | Full Trace app/views/kaminari/_paginator.html.erb:10:in block in _app_views_kaminari__paginator_html_erb___4026289994022119719_69904100316060′ app/views/kaminari/_paginator.html.erb:9:in_app_views_kaminari__paginator_html_erb___4026289994022119719_69904100316060′ app/views/transactions/index.html.erb:2:in `_app_views_transactions_index_html_erb__422882858554400818_60602560′ kaminari提出了一个问题进一步研究这里是新的Rails 5.0.0.beta1代码，现在抛出错误：将它添加到config / application.rb’修复’它，但不是一个好主意： config.action_controller.permit_all_parameters = true 而是添加这个并不能解决问题，不确定原因： config.action_controller.always_permitted_parameters = [:current_page, :page, :total_pages, :per_page, :remote, :paginator]

Rails sanitize（）方法有多好？: 我可以对用户输入的文本使用ActionView :: Helpers :: SanitizeHelper #sanitize ，我打算向其他用户展示吗？例如，它是否能正确处理本网站上描述的所有案例？此外，文档提到：请注意，清理用户提供的文本并不能保证生成的标记有效（符合文档类型）或格式正确。输出可能仍包含未转义的”，’＆’字符和混淆浏览器。处理这个问题的最佳方法是什么？在显示之前通过Hpricot传递已清理的文本？