shmn7iii

Blog

Brakemanくん「Potentially unsafe model attribute in

link_to(nil, HogeModel.new.hoge_url, target: :_blank, rel: "noopener noreferrer")
画像が読み込まれない場合はページを更新してみてください。

すげえ怒られる。

Even though Rails will escape the link provided to link_to, values starting with “javascript:” or “data:” are unescaped and dangerous.Brakeman will warn on if user values are used to provide the HREF value in link_to or if they are interpolated at the beginning of a string.The --url-safe-methods option can be used to specify methods which make URLs safe.
Railsはlink_toに提供されたリンクをエスケープするにもかかわらず、"javascript: "や "data: "で始まる値はエスケープされず、危険です。Link_toのHREF値を提供するためにユーザ値が使われたり、文字列の先頭に補間されたりすると、Brakemanは警告を出します。

モデルのカラムを href に直接指定すると怒られるっぽい。

to_s すると回避できた。

link_to(nil, HogeModel.new.hoge_url.to_s, ...)