Prevenire la serializzazione accidentale dei modelli ActiveRecord

Documentazione Guide per sviluppatori
1

Abbiamo introdotto una patch per impedire la serializzazione accidentale dei modelli ActiveRecord senza specificare i campi da serializzare. Questa modifica assicura che controlliamo quali campi sono inclusi, evitando potenziali problemi con dati incompleti o eccessivi esposti.

Per impostazione predefinita, il rendering di un modello ActiveRecord come JSON include tutti gli attributi, il che potrebbe non essere desiderabile in molti casi. Per imporre pratiche migliori, è necessario specificare quali campi devono essere serializzati.

Esempi di Utilizzo

Utilizzo Errato:

def show
  @user = User.first
  render json: @user
end

In sviluppo e nei test, questo risulterà in:

ActiveRecordSerializationSafety::BlockedSerializationError:
Serializing ActiveRecord models (User) without specifying fields is not allowed.
Use a Serializer, or pass the :only option to #serializable_hash. More info: https://meta.discourse.org/t/-/314495
./lib/freedom_patches/active_record_disable_serialization.rb:15:in `serializable_hash'

Utilizzo Corretto:

  1. Utilizzo di un Serializer
class UserSerializer < ApplicationSerializer
  attributes :id, :email
end

def show
  @user = User.first
  render json: @user, serializer: UserSerializer
end
  1. Utilizzo dell’opzione :only
def show
  @user = User.first
  render json: @user.as_json(only: [:id, :email])
end

Questo documento è soggetto a controllo di versione - suggerisci modifiche su github.

6 Mi Piace
Support for BlockedSerializationError when I add a field named type_tag to the tags table
3

Solo per chiarire per coloro che potrebbero incontrare questo problema, ciò significa che tutti gli utilizzi dei metodi di serializzazione in ActiveModel::Serialization, ad esempio as_json, indipendentemente dal contesto (anche nelle specifiche), comporteranno un errore a meno che non si passi l’opzione only. Vedi ulteriormente

Per un esempio, vedi:

5 Mi Piace
4

Un post è stato diviso in un nuovo argomento: Aiuto con le nuove protezioni di serializzazione

5

Bene, ci sono voluti 21 giorni, ma finalmente ho capito cosa hai detto qui nel tuo codice collegato, almeno in un contesto, e spero anche nell’altro menzionato nell’argomento diviso sopra. Quest’ultimo sembra più difficile (almeno per quanto ricordo) dato che non so bene dove sia il problema.

Grazie per aver salvato la giornata (o almeno questa giornata). :beers:

L’altro problema era che il mio modello server includeva il modello user e avevo bisogno di chiamare il serializzatore utente (o limitare i campi) del modello utente nel mio serializzatore server.

Alla fine non avevo bisogno di nulla del modello utente nel mio modello server (l’user_id era già lì, e c’è una ragionevole possibilità che non mi serva nemmeno quello).

1 Mi Piace