Brakemanくん「Potentially unsafe model attribute in link_to href」

link_to(nil,, target: :_blank, rel: "noopener noreferrer")


Even though Rails will escape the link provided to link_to, values starting with “javascript:” or “data:” are unescaped and dangerous.Brakeman will warn on if user values are used to provide the HREF value in link_to or if they are interpolated at the beginning of a string.The --url-safe-methods option can be used to specify methods which make URLs safe.
Railsはlink_toに提供されたリンクをエスケープするにもかかわらず、"javascript: "や "data: "で始まる値はエスケープされず、危険です。Link_toのHREF値を提供するためにユーザ値が使われたり、文字列の先頭に補間されたりすると、Brakemanは警告を出します。

モデルのカラムを href に直接指定すると怒られるっぽい。

to_s すると回避できた。

link_to(nil,, ...)