Rails:在link_to帮助器中使用params [:bar]是否安全?

时间:2014-11-24 16:41:57

标签: ruby-on-rails xss

在视图中使用这样的link_to帮助器是否安全?或者我是否必须清理params[:bar]以防止XSS攻击?

link_to("name", my_path(foo: params[:bar]))

我使用Rails 4.1

2 个答案:

答案 0 :(得分:1)

params[:bar]只返回一个值,可以是StringFixnumArray等。它与传递任何其他link_to没有区别PARAMS。除了Rails'之外没有其他的警告。需要约定,因为您的示例只会发送GET请求。

正如@tadman所提到的,link_to将正确处理此问题,因此您可以放入任意数据而无需担心XSS。

如果您要将其更改为POSTPUTPATCHDELETE请求,请考虑改为使用button_to

答案 1 :(得分:1)

清理参数。别担心。这是一个来自Rails控制台的片段,带有一个例子。

Pry session with in a Rails console