一User has_one Account.当设置attr_accessible在用户模式能够更好地保护:account,:account_id或两者兼而有之?
attr_accessible :account
要么
attr_accessible :account_id
要么
attr_accessible :account, :account_id
我觉得两者都是要走的路(因为它更安全),即使它感觉不那么干.
更新以提供更多背景信息
只是为了说明我为什么要问的背景.我和大多数人一样,看到了Github发生的事情,所以我们正在通过我们的应用程序并将其锁定得更紧.
在这样做的过程中,我找到了我们通过考试的测试
User.create account: account
以及我们在account_id中传递的位置:
User.create account_id: account.id
我的选择是要么将它们全部改为一致,要么attr_accessible改为允许.我决定将它们全部改为一致.但这让我担心我们可能在我们的应用程序中使用这两种方法而且我可能会通过仅允许其中一种方式来破坏我们的应用程序.
当我说使用两者更安全时,我做错了.这是漫长的一天.
这与浏览器如何知道何时提示用户保存密码有关?除了我的特定于Safari.
我有一个网站,您可以通过两种不同的方式登录.第一个是您必须输入电子邮件,密码和帐户域的主站点.第二种方式是实际转到您的域(指向我的服务器),此时您只需要输入您的电子邮件和密码.
登录第二种方式(两个输入),Safari,Chrome和Firefox都会询问我是否要保存用户名和密码(如预期的那样).
但是以第一种方式登录(三个输入),只有Chrome和Firefox问.Safari没有.
我的表单不是AJAX/Javascript.它有一个表单标签,一个提交按钮,以及三个带有ids /名称的输入 - 电子邮件,密码(类型=密码)和account_domain.我没有autocomplete = off.
有谁知道Safari要求保存用户名/密码的内容? 是b/c我有三个输入而不是两个?
作为一个注释,我只使用Safari在我妻子的Mac上运行相同的测试,并且在任何一种情况下都没有提示她保存.所以我不知道.
我确认我们都没有为这些网站中的任何一个点击过"永远不记得密码".