ActiveRecordモデルの意図しないシリアライズを防ぐ

フィールドを指定せずにActiveRecordモデルを誤ってシリアル化するのを防ぐためのパッチを導入しました。この変更により、どのフィールドを含めるかを制御し、不完全または過剰なデータが公開される可能性のある問題を回避します。

デフォルトでは、ActiveRecordモデルをJSONとしてレンダリングするとすべての属性が含まれますが、これは多くの場合望ましくありません。より良いプラクティスを強制するために、シリアル化されるべきフィールドを指定する必要があります。

使用例

誤った使用法:

def show
  @user = User.first
  render json: @user
end

開発環境およびテストでは、次のような結果になります。

ActiveRecordSerializationSafety::BlockedSerializationError:
フィールドを指定せずにActiveRecordモデル (User) をシリアル化することは許可されていません。
Serializerを使用するか、#serializable_hashに:onlyオプションを渡してください。詳細: https://meta.discourse.org/t/-/314495
./lib/freedom_patches/active_record_disable_serialization.rb:15:in `serializable_hash'

正しい使用法:

1. Serializerを使用する

class UserSerializer < ApplicationSerializer
  attributes :id, :email
end

def show
  @user = User.first
  render json: @user, serializer: UserSerializer
end

2. :onlyオプションを使用する

def show
  @user = User.first
  render json: @user.as_json(only: [:id, :email])
end

このドキュメントはバージョン管理されています - githubで変更を提案してください。

念のため、この状況に遭遇する可能性のある方のために明確にしておきます。これは、ActiveModel::Serialization のすべてのシリアライゼーションメソッド、例えば as_json が、コンテキスト（スペック内を含む）に関わらず、only オプションを渡さない限りエラーになることを意味します。詳細は以下をご覧ください。

例については、以下をご覧ください。

投稿が新しいトピックに分割されました: 新しいシリアライゼーション保護に関するヘルプ

21日かかりましたが、ようやくここでリンクされたコードで、少なくとも1つのコンテキストで、そして上記で言及された分割トピックで言及されているもう1つのコンテキストでも、あなたの言ったことを理解できました。後者はより難しいようです（少なくとも私の記憶では）、問題がどこにあるのかよくわからないからです。

一日（少なくともこの日）を救ってくれてありがとう。

もう1つの問題は、私のserverモデルにuserモデルが含まれており、サーバーシリアライザーでユーザーシリアライザーを呼び出すか、ユーザーモデルのフィールドを制限する必要があったことでした。

結局、サーバーモデルにユーザーモデルのどれも必要ないことがわかりました（user_id_はすでにそこにあり、それさえも実際には必要ない可能性が高いです）。