rails中ActiveModel::ForbiddenAttributesError的解决方案(新）

来源：互联网发布：淘宝直通车有什么用编辑：程序博客网时间：2024/05/21 18:47

最近总是遇到这个问题，因为我看的资料都是Rails3.2的，但是用的开发环境是4.0的，而4.0增加了一些安全措施

这类错误大多出现在new或者create两个action中

[ruby] view plaincopyprint?
def create  
     #params.permit!  
     @post = Post.find(params[:post_id])  
     @comment = @post.comments.new(params[:comment])  
     @comment.save  
    redirect_to @post  
  end  

错误出现在：

[ruby] view plaincopyprint?
@comment = @post.comments.new(params[:comment])  

以前我的处理方法很粗暴，就是直接在方法的前面加上params.permit! 见上述代码注释的那行，但这样做不太安全，原因见下面

因为初始化整个 params Hash 是十分危险的，一旦初始化就会把用户提交的所有数据传递给 User.new 方法。假设除了前述的属性，User 模型还包含 admin 属性，用来标识网站的管理员。（我们会在 9.4.1 节加入这个属性。）要把这个属性设为 true，就要在 params[:user] 中包含 admin='1'，这个过程可以轻易的使用 curl 这种命令行 HTTP 客户端实现。结果是，把整个 params 传递给 User.new 网站的任一用户都可以在请求中包含 admin='1' 来获取管理员权限。

基于这种状况，我加上params.permit!

又回到了4.0之前的情况。正确的处理是这样的，我们之允许需要的参数传进来将params[:comment]改为comment_params 并为comment_params建立一个私有方法

[ruby] view plaincopyprint?
class CommentsController <ApplicationController  
  
  def new  
  end  
  
  def create  
     #params.permit!  
     @post = Post.find(params[:post_id])  
     @comment = @post.comments.new(comment_params)  
     @comment.save  
    redirect_to @post  
  end  
  
  private  
  
  def comment_params  
    params.require(:comment).permit(:post_id , :content)  
  end  
  
end  

错误解决！

0 0