Q&A
こんにちわ。
Railsのフォームでhidden_fieldを使うのは、セキュリティ的に大丈夫なのか疑問に感じたので質問致します。
今回の疑問
例えば、以下のコードの様に、f.hidden_fieldの値にuser_idやgourp_idを入れるのは、セキュリティ的に大丈夫なのでしょうか?
<%= form_for [group,group.requests.build] do |f| %> <%= f.hidden_field :user_id,value: group.manager %> <%= f.hidden_field :requester, value:current_user.id %> <div class="actions"> <%= f.submit 'グループの参加申請をする',class:'btn btn-outline-primary' %> </div>
上記のコードでも問題なく動くのですが、「この書き方の方が良いよ!」と言うのがあれば、教えて頂きたいです。
よろしくお願い致します。
回答1件
0
ベストアンサー
たぶん一概には言えなくて,
①その user_id や group_id が知られてもよいか,
②その値が偽造されると危険か
の二点で決まるでしょうね。
この観点でダメだったら,たとえ hidden_tag でも絶対に入れてはいけません。
ところで,その二つの値って,フォームで渡さなければならないものでしょうか?
group は特定されているので,group.manager はフォームを受けたアクションの側で得られるのではないでしょうか。
current_user.id も,いまログインしているユーザーの id なのでしょうから,フォームを受けたアクションで得られるように思います。
投稿2018/03/22 03:44
編集2018/03/22 03:45
総合スコア2108
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2018/03/22 05:18