Action Controller parameter attributes are now tainted by default and Active Model has been extended to check for tainted on mass assignment. This means you’ll have to make a conscious choice about which attributes to allow for mass updating and this prevent accidentally exposing that which shouldn’t be exposed.

先日の mass assignment 脆弱性の件 への対応策と見られるレポジトリが github の rails organization に push されたようです。

params を保護する方向らしい。この方がコントローラ毎に設定できて確かに良いなあ。

params.required[:person].permit(:name, :age)

params に :person パラメータを必須としてそこの中で :name, :age パラメータも安全とするという感じなのかな。


Backfilled at , Published at