link_to hrefの安全でないパラメータ値Rails 4.2

Question

アプリケーションでスキャンレポートを生成するためにbrakemanを使用しました。それは私のビューページでのクロスサイトスクリプティングのセキュリティ警告が発生したとして：

ライン3近くのlink_toのHREFで安全でないパラメータ値：のlink_to（ ""、 Instagram.authorize_url（：REDIRECT_URI => （（Rails.application （params [：id]）： （ ""））））、：id => .config.custom.domain_url + "instagram/callback /？edit ="）+（params [：id] "INSTA-ログインボタン"）

これが私の見解です：

<% if @instagram_oauth.nil? %> 
    <h2>Connect to your Instagram account</h2> 
    <%= link_to '', Instagram.authorize_url(:redirect_uri => Rails.application.config.custom.domain_url + 'instagram/callback/?edit=' + (params[:id].present? ? params[:id] : '')), :id => "insta-sign-in-button" %> 
<% end %> 

この警告の修正方法を教えてください。

Answer 1

パラメータparams[:id]をlink_toに直接渡していることを明示する警告は危険です。

オブジェクトを渡す方がよい。それができない場合は、link_toにローカル変数を渡して、この警告を取り除くことができます。 しかし、これは適切な解決策ではありません。

url_id = params[:id].present? ? params[:id] : '' 

そして、あなたのlink_toのURLでこれを渡します。