ruby-on-rails – 为什么Rails参数包装不包含来自URI的全局内容
|
docs on parameter wrapping状态:
它有助于省略包装哪些参数哈希. Action Controller overview guide给出了这个破败:
当您使用RESTful资源和路由时,会发生这种乐趣.假设你有一个模型A has_many Bs;因此B具有外键a_id. 你使用空载荷POST / as / 1 / bs(因为B没有其他字段).假设a_id是attr_accessible,可以假设a_id将包装在b对象中.相反,你会看到: Processing by BsController#create as HTML
Parameters: {"b"=>{},"a_id" => "1"}
没有这样的运气.事实证明, 有没有什么好的理由在这里使用request_parameters而不是params? 我可以理解,从“REST哲学”的角度来看,如果我们假设有效载荷包含整个对象,它就更纯粹了,但这实际上意味着URI中的a_id被完全忽略,这似乎很可惜. tl; dr:ParamsWrapper使用request_parameters作为参数源,因此跳过了URI-globbed变量.这是一个Rails错误吗?纯REST倡导者可能会说不,但实用主义暗示是. 解决方法
据我所知,a_id未包含在’b’的散列中的原因是我们需要该id值来首先检查我们的数据库中是否存在该记录.这样,我们可以简单地拒绝请求中的其他参数.根据不包含在’b’哈希中的原因:它可以防止意外.采取这种情况:假设有人正在更新表单并将完整的’b’哈希作为参数传递给模型对象.现在,当我们调用model_object.save时,它可能会将记录保存在我们的数据库中,而不是更新旧记录,这将是一个安全威胁(如果对象已经在之前初始化,可能会发生).不是一个完整的证据场景,但在编码时确实发生了事故,它可以帮助我们预防此类事故.
(编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |