Rails 5.0.0.beta1 - 从未经过清理的请求参数生成URL是不安全的
我们正在从Rails 4.2.5升级到5.0.0.beta1
在测试时,我们希望看到像以前一样使用分页链接呈现的索引视图。 但是我们现在得到一个ArgumentError错误页面,例如:
ArgumentError in Transactions#index
/app/views/kaminari/_paginator.html.erb where line #10 raised:
<%= paginator.render do -%>
Generating an URL from non sanitized request parameters is insecure!
Application Trace | Framework Trace | Full Trace
app/views/kaminari/_paginator.html.erb:10:in block in _app_views_kaminari__paginator_html_erb___4026289994022119719_69904100316060' app/views/kaminari/_paginator.html.erb:9:in_app_views_kaminari__paginator_html_erb___4026289994022119719_69904100316060'
app/views/transactions/index.html.erb:2:in `_app_views_transactions_index_html_erb__422882858554400818_60602560'
进一步调查这里是新的Rails 5.0.0.beta1代码,现在抛出错误:
将此添加到config / application.rb&#39;修复&#39;它,但不是一个好主意:
config.action_controller.permit_all_parameters = true
相反,添加此功能并不能解决问题,不确定原因:
config.action_controller.always_permitted_parameters = [:current_page, :page, :total_pages, :per_page, :remote, :paginator]
1 个答案:
答案 0 :(得分:23)
这似乎是在github主分支中修复的,所以现在在你的gem文件中指定:
gem 'kaminari', :git => "git://github.com/amatsuda/kaminari.git", :branch => 'master'
相关问题
- 从数组生成url参数
- Rails 5.0.0.beta1 - 从未经过清理的请求参数生成URL是不安全的
- root用户名或范围内的root不能与rails 5.0.0-beta1一起使用
- Rails 5.0.0.beta1,两个数据库设置创建了额外的active_record_internal_metadatas表
- 从未经过清理的请求参数生成URL
- Rails 5 - 任何人都可以解释如何从未经过清理的请求参数生成URL是不安全的吗?
- Rails 5:尝试从未经过清理的请求参数生成URL - 如何查找白名单中的参数
- Rails 5尝试从未经过清理的请求参数生成URL
- Rails 5 - link_to params引发:尝试从未经过清理的请求参数生成URL
- 已清除基础标签URL
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?