非常简单的链接:
<%= link_to("Download CSV", params.merge(format: :csv) %>
提出:
尝试从未经过清理的请求参数生成URL!一个 攻击者可以将恶意数据注入生成的URL,例如 改变主人。白名单和清理传递的参数是 安全
这在以前版本的rails中没有出现错误。
答案 0 :(得分:2)
<%= link_to("Download CSV", params.permit(:product_ids).merge(format: :csv) %>
这是因为参数很强