在视图中使用这样的link_to
帮助器是否安全?或者我是否必须清理params[:bar]
以防止XSS攻击?
link_to("name", my_path(foo: params[:bar]))
我使用Rails 4.1
答案 0 :(得分:1)
params[:bar]
只返回一个值,可以是String
,Fixnum
,Array
等。它与传递任何其他link_to
没有区别PARAMS。除了Rails'之外没有其他的警告。需要约定,因为您的示例只会发送GET
请求。
正如@tadman所提到的,link_to
将正确处理此问题,因此您可以放入任意数据而无需担心XSS。
如果您要将其更改为POST
,PUT
,PATCH
或DELETE
请求,请考虑改为使用button_to
。
答案 1 :(得分:1)
清理参数。别担心。这是一个来自Rails控制台的片段,带有一个例子。