2

我正在使用 Ruby on Rails (3.2.2)、globalize3 (0.2.0) 和batch_translations (0.1.2) ruby​​-gems。我想解决使用 batch_translations ruby​​-gem 时产生的以下问题:

ActiveModel::MassAssignmentSecurity::Error in Admin::ArticlesController#update

Can't mass-assign protected attributes: translations_attributes

在我的ROOT_RAILS/Gemfile文件中,我有:

...
gem 'globalize3'
gem 'batch_translations'

在我的ROOT_RAILS/app/models/admin/article.rb文件中,我有:

class Admin::Article < ActiveRecord::Base
  translates :title

  # This is needed to make the batch_translations to work.
  accepts_nested_attributes_for :translations

  ...
end

在我的ROOT_RAILS/app/views/admin/articles/_form.html.erb文件中,我有:

<%= form_for(@admin_article, :url => admin_article_path) do |f| %>
    <%= f.label :title %><br />
    English translation:
    <%= f.text_field :title %>

    Italiano translation:
    <%
      # Note: I am using the '<%= f...' instad of '<% f...' otherwise
      # batch_translations doesn't output the input field in the
      # front-end content.
    %>
    <%= f.globalize_fields_for :it do |g| %>
      <%= g.text_field :title %>
    <% end %>
<% end %>

在我的ROOT_RAILS/app/controllers/admin/articles_controller.html.erb文件中,我有:

class Admin::ArticlesController < ApplicationController

  def update
    @admin_article = Article.find(params[:id])

    respond_to do |format|
      if @admin_article.update_attributes(params[:article])
        format.html { redirect_to admin_article_path(@admin_erticle), notice: 'Article was successfully updated.' }
        format.json { head :no_content }
      else
        format.html { render action: "edit" }
        format.json { render json: @admin_article.errors, status: :unprocessable_entity }
      end
    end
  end

  ...
end

当我显示编辑表单所有工作时,但是当我提交该表单时,我得到了上面提到的错误。 如何解决上述错误?

更新

我通过在文件中使用以下代码找到了解决方案ROOT_RAILS/app/models/admin/article.rb

class Admin::Article < ActiveRecord::Base
  translates :title

  attr_accessible :translations_attributes
  accepts_nested_attributes_for :translations

  ...
end

...但是:translations_attributes确定可访问性吗?

4

3 回答 3

4

我有同样的问题。我认为这是一个很好的解决方案:

在我的 Gemfile 文件中,我有:

gem 'globalize3', '~> 0.2.0'
gem 'batch_translations', '~> 0.1.2'

在我的 application.rb 文件中,我有:

config.i18n.available_locales = [:es, :en]

在我的模型(category.rb)中,我有:

class Category < ActiveRecord::Base
  attr_accessible :name, :translations_attributes

  translates :name

  accepts_nested_attributes_for :translations, :reject_if => proc { |attributes| attributes['name'].blank? }

  validates :name, :presence => true
end

Category::Translation.class_eval do
  attr_accessible :name
end

在我的助手(application_helper.rb)中,我有:

module ApplicationHelper

  def find_available_locales
    locales = {}
    I18n.available_locales.each { |locale| locales[locale] = t("locale_selector.#{locale}") }
    locales
  end

  def available_locales
    @available_locales ||= find_available_locales
  end

end

在我的翻译文件中,我有:

en.yml

en:
  locale_selector:
    es: 'Spanish'
    en: 'English'

es.yml

en:
  locale_selector:
    es: 'Español'
    en: 'Inglés'

在我的视图文件(_form.html.erb)中,我有:

<%= form_for @category, html: { class: 'form-horizontal' } do |f| %>
  <% available_locales.each_pair do |locale, name_locale| -%>
    <% if locale == I18n.locale -%>
      <div class="control-group">
        <%= f.label :name, class: 'control-label' %>
        <div class="controls">
          <%= f.text_field :name, class: 'text_field' %> <i>(<%= name_locale %>)</i>
        </div>
      </div>
    <% else -%>
      <%= f.globalize_fields_for locale do |g| -%>
        <div class="control-group">
          <%= g.label :name, class: 'control-label' %>
          <div class="controls">
            <%= g.text_field :name, class: 'text_field' %> <i>(<%= name_locale %>)</i>
          </div>
        </div>
      <% end -%>
    <% end -%>
  <% end -%>

  <div class="form-actions">
    <%= f.submit nil, class: 'btn btn-primary' %>
    <%= link_to t('.cancel', default: t("helpers.links.cancel")),
                categories_path, class: 'btn' %>
  </div>
<% end %>

如您所见,问题在于 rails 3.2 需要知道哪些属性可以访问,但 globalize 没有指定这一点。所以我在我的模型(类别)中使用 attr_accessible 定义它,但我也需要为翻译添加它,因此我在同一个文件中添加几行来设置此模型中每个翻译可访问的名称(类别::翻译.class_eval)。

于 2012-09-24T11:33:49.697 回答
3

这将是最新版本的 rails 的问题,因为他们已对其进行了修补。您可以在配置中更改它。有关详细信息,请参阅http://weblog.rubyonrails.org/2012/3/30/ann-rails-3-2-3-has-been-released/

我可以确认您的 attr_accessible 解决方案是正确的。

于 2012-04-13T11:37:15.003 回答
0

是的。Rails 可能被配置为只允许大量分配明确允许的属性。

# This is mass assignment
Model.find(params[id]).update_attributes params[:model]

出于安全考虑,强制执行白名单方法。params[:model]可以包含任何内容,甚至是表单中不可用的属性。攻击者可以利用这一点并admin: true与其他值一起发送。

如果没有attr_accessible,攻击者将被授予管理员权限。但是,如果:admin没有在白名单上,则update_attributes不会更新该特定属性。

宝石可能在引擎盖下进行了质量分配。确保您允许他们写入自己的属性。

于 2012-04-13T11:52:23.997 回答