【发布时间】:2018-04-01 16:13:09
【问题描述】:
在 Rails 4 here is the question 关于如何做到这一点。我想知道的是,虽然这行得通,但为什么日志仍然抱怨?
在 Rails 5.1.3 中,我有一个 JSON 列 (letterhead) 作为我的模型属性之一(并且在该 json 内部是一个散列,其中包含我不关心白名单的各种属性)。我只想允许/白名单列本身。
Rails 5.1.4 注释
在 5.1.4 中有一个 Rails 方法可以做到这一点,请参阅this commit。 在 github 上有一个相当长的讨论 here 关于这个。在 Rails 5.1.4 中就是这样:
def account_params
params.require(:account).permit(:id, :name, :plan_id, letterhead: {})
end
:letterhead 参数是允许的,日志中没有错误显示并且模型保存。但显然它允许在该参数内进行任意输入,因此谨慎使用。
如果您确实想限制在此类参数中允许使用哪些哈希键,那么您也可以将它们列入白名单,例如:
def account_params
params.require(:account).permit(:id, :name, :plan_id, letterhead: [:address, :logo, :contact_info])
end
这现在可以防止 :letterhead 内的任何其他任意键,因为我明确地只允许这 3 个 - :address, :logo, :contact_info
Rails 5.1.3(及更早版本)
我可以使用以下任一方式允许此列(也请参阅链接的讨论以了解其他可能的选项):
选项 1
def account_params
params.require(:account).permit(:id, :name, :plan_id, :letterhead).tap do |whitelisted|
whitelisted[:letterhead] = params[:account].fetch(:letterhead, ActionController::Parameters.new).permit!
end
end
选项 2
def account_params
params.require(:account).permit(:id, :name, :plan_id, :letterhead).tap do |whitelisted|
whitelisted[:letterhead] = params[:account][:letterhead].permit!
end
end
在这两种情况下,模型都会保存,但在日志中仍然显示“unpermitted parameters :letterhead”
为什么在我明确允许的情况下还这么说?
另外,选项 1 和选项 2 之间有什么真正的区别吗?
编辑
数据是这样的:
{"id"=>"a61151b8-deed-4efa-8cad-da1b143196c9",
"plan_id"=>"1dc49acf-3111-4030-aea1-7db259b53a51",
"name"=>"Test Account 1",
"is_active"=>true,
"letterhead"=>{"left"=>"", "center"=>"", "right"=>""},
"created_by"=>nil,
"updated_by"=>nil,
"created_at"=>"2017-10-14T19:05:40.197Z",
"updated_at"=>"2017-10-20T15:14:08.194Z"}
【问题讨论】:
-
你传入的数据是什么样的?
-
@7urkm3n 我添加了一个显示数据的编辑
-
您看到什么样的错误(抱怨)?可以贴一下你的日志和使用方法吗?
-
@7urkm3n 我升级到最新的 Rails 来解决它,所以不能再发布任何东西了。日志说“不允许的参数:”然后列出它们
标签: ruby-on-rails json parameters whitelist