ruby-on-rails - Rails 5.1 - 允许使用 JSON 参数，但在日志中仍显示为未经允许

Question

在 Rails 4 here is the question关于如何做到这一点。我想知道的是，虽然这有效，但为什么日志仍然提示？

在 Rails 5.1.3 中，我有一个 JSON 列( letterhead )作为我的模型属性之一(并且在该 json 内部是一个散列，其中包含我不关心白名单的各种属性)。我只想允许/白名单列本身。

关于 Rails 5.1.4 的注意事项

在 5.1.4 中有一个 Rails 方法可以做到这一点，见 this commit .
有一个相当长的讨论here关于这个在 github 上。在 Rails 5.1.4 中就是这样:

def account_params
  params.require(:account).permit(:id, :name, :plan_id, letterhead: {})
end

:letterhead参数是允许的，日志中没有错误显示并且模型保存。但显然它允许在该参数内进行任意输入，因此请谨慎使用。

如果您确实想限制在此类参数中允许使用哪些哈希键，那么您也可以将它们列入白名单，例如:

def account_params
  params.require(:account).permit(:id, :name, :plan_id, letterhead: [:address, :logo, :contact_info])
end

这现在可以防止 :letterhead 中的任何其他任意键因为我明确地只允许这 3 个 - :address, :logo, :contact_info
Rails 5.1.3(及更早版本)

我可以使用以下任一方法允许此列(也请参阅链接的讨论以了解其他可能的选项):

选项 1

def account_params
  params.require(:account).permit(:id, :name, :plan_id, :letterhead).tap do |whitelisted|
    whitelisted[:letterhead] = params[:account].fetch(:letterhead, ActionController::Parameters.new).permit!
  end
end

选项 2

def account_params
  params.require(:account).permit(:id, :name, :plan_id, :letterhead).tap do |whitelisted|
    whitelisted[:letterhead] = params[:account][:letterhead].permit!
  end
end

在这两种情况下，模型都会保存，但在日志中仍然显示“不允许的参数:letterhead”

为什么在我明确允许时仍然这么说？

另外，选项1和选项2之间有什么真正的区别吗？

编辑

数据是这样的:

{"id"=>"a61151b8-deed-4efa-8cad-da1b143196c9", 
"plan_id"=>"1dc49acf-3111-4030-aea1-7db259b53a51", 
"name"=>"Test Account 1", 
"is_active"=>true, 
"letterhead"=>{"left"=>"", "center"=>"", "right"=>""}, 
"created_by"=>nil, 
"updated_by"=>nil, 
"created_at"=>"2017-10-14T19:05:40.197Z", 
"updated_at"=>"2017-10-20T15:14:08.194Z"}

Answer 1

为什么在我明确允许时仍然这么说？

日志来自 #unpermitted_parameters! 由 #permit 调用.所有这些都发生在调用 #tap 之前。 .

选项 1 和选项 2 之间有什么真正的区别吗？

差异归结为

params[:account].fetch(:letterhead, ActionController::Parameters.new).permit!

对比

params[:account][:letterhead].permit!

后者将导致 NoMethodError如果 :letterhead未通过，因为 params[:account][:letterhead]将返回 nil .前者返回一个空的参数散列。