在 Rails 4 here is the question关于如何做到这一点。我想知道的是,虽然这有效,但为什么日志仍然提示?
在 Rails 5.1.3 中,我有一个 JSON 列( letterhead )作为我的模型属性之一(并且在该 json 内部是一个散列,其中包含我不关心白名单的各种属性)。我只想允许/白名单列本身。
关于 Rails 5.1.4 的注意事项
在 5.1.4 中有一个 Rails 方法可以做到这一点,见 this commit .
有一个相当长的讨论here关于这个在 github 上。在 Rails 5.1.4 中就是这样:
def account_params
params.require(:account).permit(:id, :name, :plan_id, letterhead: {})
end
:letterhead参数是允许的,日志中没有错误显示并且模型保存。但显然它允许在该参数内进行任意输入,因此请谨慎使用。如果您确实想限制在此类参数中允许使用哪些哈希键,那么您也可以将它们列入白名单,例如:
def account_params
params.require(:account).permit(:id, :name, :plan_id, letterhead: [:address, :logo, :contact_info])
end
这现在可以防止
:letterhead 中的任何其他任意键因为我明确地只允许这 3 个 - :address, :logo, :contact_infoRails 5.1.3(及更早版本)
我可以使用以下任一方法允许此列(也请参阅链接的讨论以了解其他可能的选项):
选项 1
def account_params
params.require(:account).permit(:id, :name, :plan_id, :letterhead).tap do |whitelisted|
whitelisted[:letterhead] = params[:account].fetch(:letterhead, ActionController::Parameters.new).permit!
end
end
选项 2
def account_params
params.require(:account).permit(:id, :name, :plan_id, :letterhead).tap do |whitelisted|
whitelisted[:letterhead] = params[:account][:letterhead].permit!
end
end
在这两种情况下,模型都会保存,但在日志中仍然显示“不允许的参数:letterhead”
编辑
数据是这样的:
{"id"=>"a61151b8-deed-4efa-8cad-da1b143196c9",
"plan_id"=>"1dc49acf-3111-4030-aea1-7db259b53a51",
"name"=>"Test Account 1",
"is_active"=>true,
"letterhead"=>{"left"=>"", "center"=>"", "right"=>""},
"created_by"=>nil,
"updated_by"=>nil,
"created_at"=>"2017-10-14T19:05:40.197Z",
"updated_at"=>"2017-10-20T15:14:08.194Z"}
最佳答案
为什么在我明确允许时仍然这么说?
日志来自 #unpermitted_parameters! 由 #permit 调用.所有这些都发生在调用 #tap 之前。 .
选项 1 和选项 2 之间有什么真正的区别吗?
差异归结为
params[:account].fetch(:letterhead, ActionController::Parameters.new).permit!
对比
params[:account][:letterhead].permit!
后者将导致
NoMethodError如果 :letterhead未通过,因为 params[:account][:letterhead]将返回 nil .前者返回一个空的参数散列。
关于ruby-on-rails - Rails 5.1 - 允许使用 JSON 参数,但在日志中仍显示为未经允许,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/46849957/