Я устанавливаю имя файла, например 'abc_1.pdf', где '1' - значение атрибута модели. Но сканер Brakeman воспринимает это как проблему безопасности. Мне нужно отслеживать файлы, ссылаясь на имя файла с атрибутом модели. Не могли бы вы рассказать мне, как правильно решить эту проблему безопасности?Brakeman: атрибут модели, используемый в предупреждениях о имени файла
Спасибо.
Я не знаю драгоценного камня Brakeman, но вы можете использовать биективное преобразование, чтобы добавить атрибуты модели ссылок к имени файла, чтобы Brakeman не беспокоился.
Или вы можете создать какой-то уникальный hashkey для вашего атрибута модели, который хранится где-нибудь (еще) вместе с атрибутом model, чтобы вы могли позже найти атрибут модели, а затем представить hashkey.
Можно дезинфицировать атрибут модели при генерации имени файла
"abc_#{sanitize(@mymodel.some_attribute)}.pdf"
Я думаю, что мы могли бы найти еще лучшее решение, если вы разместите точный пример кода.
Nope. Brakeman все еще жалуется, что «значение параметра [используется] используется в имени файла» – ChrisInEdmonton
Nope. Brakeman все еще жалуется, что «значение параметра [используется] используется в имени файла». – ChrisInEdmonton