Rails 3.2.3ではwhitelist_attributesの設定が必要

この記事は『改訂新版 基礎Ruby on Rails』の読者サポートのために書かれたものです。
読者サポートページに戻る

2012年3月30日に公開されたRails 3.2.3では、config\application.rbのwhitelist_attributesの設定が、デフォルトでtrueに変更されました。これは、最近問題になったMass Assignment(ハッシュによるモデルの属性の一括設定)関連のセキュリティ対策向上のためです。

Rails 3.2.3以降でアプリケーションを作成した読者の方は、本書のChapter4以降を実習する前に、次のようにconfig\application.rbを修正して、truefalseに変える必要があります(ファイル中の下から10行目あたりにあります)。

    config.active_record.whitelist_attributes = false

モデル属性の保護とwhitelist_attributesの設定に関する説明は、本書のChapter8、360ページ以降にあります。

362ページ以降を進めるときは、whitelist_attributesの設定をtrueに戻してください。