Передачи данных, которые пользователи не могут изменить от формы к контроллеру

Question

я иметь такую ​​форму:

<%= form_for(@book) do |f| %> 
    <%= f.text_area 'review' %> 
    <%= hidden_field_tag "book[title]", result.title %> 
    <%= hidden_field_tag "book[author]", result.author %> 
    <%= hidden_field_tag "book[pages]", result.pages %> 
    <%= f.submit "Add book" %> 
<% end %> 

В books_controller У меня есть create действия, чтобы добавить книгу.

Я не хочу, чтобы пользователь мог изменять название, автор или страницы книги. Единственное, что я хочу сделать, это обзор.

Я знаю, что hidden_field_tags легко подделать - их можно изменить в браузерах, таких как Chrome или Firefox, путем проверки кода и изменения значения. Это приведет к тому, что пользователь сможет изменить данные.

Как передать данные в действие create контроллера без возможности изменения данных?

Answer 1

Вы можете использовать text_field_tag с опцией readonly: true.

<%= form_for(@book) do |f| %> 
    <%= f.text_area 'review' %> 
    <%= text_field_tag "book[title]", result.title, readonly: true %> 
    <%= text_field_tag "book[author]", result.author, readonly: true %> 
    <%= text_field_tag "book[pages]", result.pages, readonly: true %> 
    <%= f.submit "Add book" %> 
<% end %> 

Answer 2

Я передал идентификатор книги в скрытом поле, а затем просмотрел все остальные атрибуты книги в контроллере.

<%= form_for(@book) do |f| %> 
    <%= f.text_area 'review' %> 
    <%= hidden_field_tag "book[id]", result.id %> 
    <%= f.submit "Add book" %> 
<% end %> 

Если вы обеспокоены тем, пользователь по-прежнему быть в состоянии изменить идентификатор книги в скрытом поле, вы можете выполнить проверку в контроллере, чтобы увидеть, если пользователь имеет право ввести обзор книгу с представленным идентификатором.