司閘員錯誤 - 近

Question

轉義的模型屬性我得到了很多錯誤如下

Unescaped model attribute near line 20: show_errors(Objective.new(objective_params), :name) 

擴展視圖

這是我的代碼

module ApplicationHelper 
    # Error Helper for Form 
    def show_errors(object, field_name) 
    if object.errors.any? && object.errors.messages[field_name][0].present? 
     "<label class='text-error'>" + object.errors.messages[field_name][0] + "</label>" 
    else 
     return "" 
    end 
    end 

end 

Answer 1

從制動手Cross Site Scripting文檔：

默認情況下，Brakeman還會警告何時將參數或cookie值用作方法的參數，其結果將以非轉義方式輸出到視圖。

例如：

<%= some_method(cookie[:name]) %> 

這就提出了類似的警告：

Unescaped cookie value near line 5: some_method(cookies[:oreo]) 

然而，此警告的置信水平將是微弱的，因爲它不直接輸出cookie值。

上一條語句可能很重要。如果您確定您的值進入了視圖轉義狀態，則可能會忽略/禁用此警告。