Action Controller parameter attributes are now tainted by default and Active Model has been extended to check for tainted on mass assignment. This means you’ll have to make a conscious choice about which attributes to allow for mass updating and this prevent accidentally exposing that which shouldn’t be exposed.

先日の mass assignment 脆弱性の件への対応策と見られるレポジトリが github の rails organization に push されたようです。

params を保護する方向らしい。この方がコントローラ毎に設定できて確かに良いなあ。

params.required[:person].permit(:name, :age)

params に :person パラメータを必須としてそこの中で :name, :age パラメータも安全とするという感じなのかな。

https://github.com/rails/strong_parameters/blob/master/lib/action_controller/parameters.rb

主な実装はこの辺だな。

blog.sorah.jp

14 Mar 2012
rails/strong_parameter