我正在研究一個Web應用程序,而且令我困擾的是用戶可以使用Firebug來操作代碼。導軌安全與隱藏的領域和螢火蟲?
<%= form_for([@journal, @news]) do |f| %>
<div class="field">
<%= f.label :title %>
<%= f.text_field :title %>
</div>
<%= f.hidden_field :journal %>
<div class="actions">
<%= f.submit %>
</div>
<% end %>
的routes.rb
resources :journal do
resources: news
end
的URL看起來像這樣mysite.com/journal/1/news/3。由於日誌id的URL我怎麼能防止值1改變日誌ID用戶能夠像2或3
<input id="news_journal_id" type="hidden" value="1" name="news[journal_id]">