0
當創建與像here局部驗證的對象,妖獸需要在URL中的對象ID -Rails的邪惡形式:阻止其他人改變對象的值
http://localhost:3000/pets/1/steps/identity
這是否意味着,任何人都可以輸入這條路線,並修改數據?
我需要表單被任何人填寫(沒有登錄),但我不希望有任何第三方訪問其他用戶對象。
我只需要創建一個簡單的多步表單,如here,它允許標準的後退和前進按鈕功能。
感謝您的幫助!
感謝馬特,但cancancan只能與針對登錄用戶的檢查一起工作嗎? – AndrewJL
不,您可以將它用於未登錄的用戶,只要假設'用戶'爲零,並且不會像上面的第一行代碼那樣使用它。然後創建一個以'if user'開頭的塊,並將登錄用戶放入其中。 –
再次感謝Matt,但我認爲它不會起作用,這種形式永遠不需要由登錄用戶使用。這只是一個標準形式,我希望任何人都可以填寫。 – AndrewJL