Har*_*M V 5 ruby-on-rails brakeman ruby-on-rails-4
我得到了很多错误,如下所示
Unescaped model attribute near line 20: show_errors(Objective.new(objective_params), :name)
扩展视图
这是我的代码
module ApplicationHelper
# Error Helper for Form
def show_errors(object, field_name)
if object.errors.any? && object.errors.messages[field_name][0].present?
"<label class='text-error'>" + object.errors.messages[field_name][0] + "</label>"
else
return ""
end
end
end
来自 Brakeman跨站脚本文档:
默认情况下,当参数或 cookie 值用作方法的参数时,Brakeman 也会发出警告,其结果未转义输出到视图。
例如:
Run Code Online (Sandbox Code Playgroud)<%= some_method(cookie[:name]) %>这会引发如下警告:
Run Code Online (Sandbox Code Playgroud)Unescaped cookie value near line 5: some_method(cookies[:oreo])但是,此警告的置信度会很弱,因为它不直接输出 cookie 值。
最后一句话可能很重要。如果您确定您的值进入视图转义,则可能会忽略/禁用此警告。
| 归档时间: |
|
| 查看次数: |
1939 次 |
| 最近记录: |