📉 Brakemanくん「Potentially unsafe model attribute in

link_to(nil, HogeModel.new.hoge_url, target: :_blank, rel: "noopener noreferrer")


Even though Rails will escape the link provided to  link_to , values starting with “javascript:” or “data:” are unescaped and dangerous.Brakeman will warn on if user values are used to provide the HREF value in  link_to  or if they are interpolated at the beginning of a string.The  --url-safe-methods  option can be used to specify methods which make URLs safe.
Railsはlink_toに提供されたリンクをエスケープするにもかかわらず、"javascript: "や "data: "で始まる値はエスケープされず、危険です。Link_toのHREF値を提供するためにユーザ値が使われたり、文字列の先頭に補間されたりすると、Brakemanは警告を出します。

モデルのカラムを href に直接指定すると怒られるっぽい。

to_s すると回避できた。

link_to(nil, HogeModel.new.hoge_url.to_s, ...)