Можно ли использовать вспомогательный помощник link_to, как это в представлении, или мне пришлось бы дезинфицировать params[:bar] во избежание атак XSS?Rails: безопасно ли использовать параметры [: bar] в link_to helper?
link_to("name", my_path(foo: params[:bar]))
Я использую Rails 4.1
Параметры дезинфицируются. Не беспокойся. Это фрагмент из консоли Rails с примером.
params[:bar] просто возвращает значение, которое может быть String, Fixnum, Array и т.д. Это ничем не отличается, чем передача каких-либо других link_to Params. Никакой дополнительной осторожности, выходящей за рамки правил Rails, не требуется, поскольку ваш пример будет отправлять только запрос GET.
Как упоминалось в @tadman, link_to будет нормально справляться с этим, поэтому вы можете произвольно вводить произвольные данные без учета XSS.
Если вы будете менять его на запрос POST, PUT, PATCH или DELETE, рассмотреть возможность использования button_to вместо этого.
Стоит отметить, что 'link_to' будет обрабатывать должным образом избежать этого, так что вы можете поместить в произвольных данных здесь, не заботясь о XSS. – tadman
Я на самом деле просто перечитал вопрос, и я понял, что я проверил неправильный аргумент, это было глупо ».-« Тогда вполне вероятно, что вы должны быть обеспокоены безопасностью помощника маршрута. Я бы поспорил, что это тоже безопасно, но лучше безопасно, чем жаль. Не спешите. –