2012-03-14

rails/strong_parameter

dev

https://github.com/rails/strong_parameters

Action Controller parameter attributes are now tainted by default and Active Model has been extended to check for tainted on mass assignment. This means you’ll have to make a conscious choice about which attributes to allow for mass updating and this prevent accidentally exposing that which shouldn’t be exposed.

先日の mass assignment 脆弱性の件 への対応策と見られるレポジトリが github の rails organization に push されたようです。

params を保護する方向らしい。この方がコントローラ毎に設定できて確かに良いなあ。

params.required[:person].permit(:name, :age)

params に :person パラメータを必須としてそこの中で :name, :age パラメータも安全とするという感じなのかな。

https://github.com/rails/strong_parameters/blob/master/lib/action_controller/parameters.rb

主な実装はこの辺だな。

Published at 2012-03-14 12:39:29 +0900 | Permalink