Brakeman错误-未转义的模型属性

Question

我收到了很多错误，如下所示

Unescaped model attribute near line 20: show_errors(Objective.new(objective_params), :name)

扩展视图

这是我的密码

module ApplicationHelper
  # Error Helper for Form
  def show_errors(object, field_name)
    if object.errors.any? && object.errors.messages[field_name][0].present?
      "<label class='text-error'>" + object.errors.messages[field_name][0] + "</label>"
    else
      return ""
    end
  end

end

Answer 1

来自Brakeman的跨站点脚本文档：

默认情况下，当参数或cookie值用作方法的参数时，Brakeman也会发出警告，该方法的结果未转义到视图。 例如： <%= some_method(cookie:name) %> 这引发了如下警告： 第5行附近的未转义cookie值:some_method(cookie:oreo) 但是，此警告的可信度将很低，因为它没有直接输出cookie值。

最后一句可能很重要。如果您确信您的值已进入视图转义，则此警告可能会被忽略/禁用。