Rails 5.1 - 允许使用JSON参数,但仍然在日志

时间:2017-10-20 13:17:49

标签: ruby-on-rails json parameters whitelist

在Rails 4中here is the question关于如何做到这一点。我想知道的是,虽然这有效,但为什么日志还在抱怨?

在Rails 5.1.3中,我有一个JSON列(letterhead)作为我的模型属性之一(并且里面的json是一个带有各种属性的哈希,我不关心白名单)。我只是想让列本身允许/列入白名单。

关于Rails 5.1.4的注释

在5.1.4中有一种Rails方法,请参阅this commit。 关于这一点,github上有一个相当长的讨论here。在Rails 5.1.4中就是这样:

def account_params
  params.require(:account).permit(:id, :name, :plan_id, letterhead: {})
end

允许:letterhead参数,日志中不显示错误,模型保存。但显然它允许在该参数内任意输入,因此小心使用。

如果您确实想要限制在这样的参数中允许使用哪些哈希键,那么您也可以将这些哈希值列入白名单,例如:

def account_params
  params.require(:account).permit(:id, :name, :plan_id, letterhead: [:address, :logo, :contact_info])
end

现在这可以防止 :letterhead内的任何其他任意键,因为我明确地只允许这些< - :address, :logo, :contact_info

Rails 5.1.3(及更早版本)

我可以使用以下任一方式允许此列(请参阅其他可能选项的链接讨论):

选项1 

def account_params
  params.require(:account).permit(:id, :name, :plan_id, :letterhead).tap do |whitelisted|
    whitelisted[:letterhead] = params[:account].fetch(:letterhead, ActionController::Parameters.new).permit!
  end
end

选项2 

def account_params
  params.require(:account).permit(:id, :name, :plan_id, :letterhead).tap do |whitelisted|
    whitelisted[:letterhead] = params[:account][:letterhead].permit!
  end
end

在这两种情况下,模型都会保存,但在日志中仍会显示“未允许的参数:信头”

  1. 当我明确允许时,为什么仍然这样说?

  2. 此外,选项1和选项2之间是否存在真正的区别?

    3. 修改

    数据是这样的:

    {"id"=>"a61151b8-deed-4efa-8cad-da1b143196c9", 
"plan_id"=>"1dc49acf-3111-4030-aea1-7db259b53a51", 
"name"=>"Test Account 1", 
"is_active"=>true, 
"letterhead"=>{"left"=>"", "center"=>"", "right"=>""}, 
"created_by"=>nil, 
"updated_by"=>nil, 
"created_at"=>"2017-10-14T19:05:40.197Z", 
"updated_at"=>"2017-10-20T15:14:08.194Z"}

1 个答案:

答案 0 :(得分:1)

当我明确允许时,为什么仍然这样说?

日志来自#unpermitted_parameters!,由#permit调用。所有这些都发生在之前#tap的调用。

选项1和选项2之间是否存在真正的区别?

差异归结为

params[:account].fetch(:letterhead, ActionController::Parameters.new).permit!

VS 

params[:account][:letterhead].permit!

如果NoMethodError未通过:letterhead,后者将导致params[:account][:letterhead],因为nil将返回public function update(UpdateRequest $request) { if (Auth::user()->hasRole('Administrateur')) { // DRAFT ACTIVITY $id = $request->id; $activity = Activity::find($id); // PARENT ACTIVITY $parent_id = $activity->parent_id; $parent_activity = Activity::find($parent_id); DB::table('activities')->??? } } 。前者返回一个空的参数哈希值。

相关问题
最新问题