Railsはhidden_​​fieldタグを使用せずにリクエストに余分なパラメータを渡します。

Question

PostとPostCommentという2つのモデルがあります。

<%= f.hidden_field :posttime, value: Time.now.getutc %> 
<%= f.hidden_field :post_id, value: @post.id %> 
<%= f.hidden_field :user_id, value: current_user.id %> 

それは私には遅クリック： は現時点では、私は、ポストの時間のようなコメントはこのように作られてされているコメントのポスターやポストIDのユーザーIDを余分にデータを送信するためにhidden_fieldフォームヘルパーを使います私はブラウザの検査官を使用してこれらの値を変更することができ、それはセキュリティ違反です。どうすればこれらのパラメータを安全に送信できますか？

Answer 1

通常、これらの値は、フォームから渡されていませんが、ネストされたURLを使ってURLを介してアクセスされている（どのようにここで読む：http://guides.rubyonrails.org/routing.html）を

例えばpost_idフォームにURLを使用する、あなたのコメントを設定したいですあなたがnew_post_comment_pathを持っていて、あなたのコントローラにparams[:post_id]にアクセスすることができます。

あなたのフォームはこのようなものになるだろう：

再

<% form_for [@post, Comment.new] do |f| %> 
    ... 

： user_idは - 間違い形で、あなたは、これは大きなセキュリティ上の懸念事項であることは非常に正しいことを通過しない（人がコメントを追加することができます他の人のために！）コントローラの認証方法（例： current_user）でアクセスしてください。あなたのコントローラなどで、このようなものに終わるだろう

：あなたは本当に渡す必要はありませんので、

def create 
    @post = Post.find(params[:post_id]) 
    @comment = @post.comments.new(comment_params) 
    @comment.user = current_user 
    if @comment.save 
    redirect_to [@post, @comment] 
    else 
    render_action :new 
    end 
end 

private 

# Don't forget to use require/permit to make sure the user can't 
# fake up the user/post id fields themselves out of whole-cloth 
def comment_params 
    # or whatever your permitted comment-fields are. 
    params.require(:comment).permit(:content) 
end 

Answer 2

Time.now.getutcとcurrent_user.idがcreateとupdate方法であなたのアプリケーションで既に利用されていますそれらの背中。 @post.id用として、あなたはちょうど...あなたのnewやedit方法でセッション変数に

session[post_id] = @post.id 

してからcreateか `updateメソッドで...多くをクリアするための

@post_comment.post_id = session[:post_id]