6

我收到很多错误如下

Unescaped model attribute near line 20: show_errors(Objective.new(objective_params), :name)

扩展视图

这是我的代码

module ApplicationHelper
  # Error Helper for Form
  def show_errors(object, field_name)
    if object.errors.any? && object.errors.messages[field_name][0].present?
      "<label class='text-error'>" + object.errors.messages[field_name][0] + "</label>"
    else
      return ""
    end
  end

end
4

1 回答 1

3

来自 Brakeman Cross Site Scripting文档:

默认情况下,当参数或 cookie 值用作方法的参数时,Brakeman 也会发出警告,其结果未转义输出到视图。

例如:

<%= some_method(cookie[:name]) %>

这会引发如下警告:

Unescaped cookie value near line 5: some_method(cookies[:oreo])

但是,此警告的置信度会很弱,因为它不直接输出 cookie 值。

最后的陈述可能很重要。如果您确定您的值已转义,则可能会忽略/禁用此警告。

于 2016-07-30T14:08:56.197 回答