制動手エラー -

Question

近くのエスケープモデル属性

Unescaped model attribute near line 20: show_errors(Objective.new(objective_params), :name) 

展開表示

これは、制動手から私のコード

module ApplicationHelper 
    # Error Helper for Form 
    def show_errors(object, field_name) 
    if object.errors.any? && object.errors.messages[field_name][0].present? 
     "<label class='text-error'>" + object.errors.messages[field_name][0] + "</label>" 
    else 
     return "" 
    end 
    end 

end 

Answer 1

であるが、以下のように、私は多くのエラーを取得していますCross Site Scriptingドキュメント：

デフォルトでは、パラメータまたはCookie値がメソッドの引数として使用されたときにBrakemanは警告を表示し、その結果はビューにエスケープされずに出力されます。例えば

：それは直接クッキーの値を出力していないので、

Unescaped cookie value near line 5: some_method(cookies[:oreo]) 

しかし、この警告のための信頼レベルが弱いようになります。これは、のような警告を発生させ

<%= some_method(cookie[:name]) %> 

。

最後の文が重要な場合があります。ビューにエスケープされた値が確実に得られれば、この警告は無視/無効になる可能性があります。