RoR 4 में मान्यताओं के साथ नियमित अभिव्यक्ति

निम्नलिखित कोड है:

class Product < ActiveRecord::Base
  validates :title, :description, :image_url, presence: true
  validates :price, numericality: {greater_than_or_equal_to: 0.01}
  validates :title, uniqueness: true
  validates :image_url, allow_blank: true, format: {
      with: %r{\.(gif|jpg|png)$}i,
      message: 'URL must point to GIT/JPG/PNG pictures'
  }
end

यह काम करता है, लेकिन जब मैं इसे "रेक टेस्ट" का उपयोग करके परीक्षण करने की कोशिश करता हूं, तो मैं इस संदेश को पकड़ लूंगा:

rake aborted!
The provided regular expression is using multiline anchors (^ or $), which may present a security risk. Did you mean to use \A and \z, or forgot to add the :multiline => true option?

इसका क्या मतलब है? मेरे द्वारा यह कैसे किया जा सकता है?

^और $प्रारंभ कर रहे हैं रेखा के और अंत लाइन के एंकर। जबकि \Aऔर \zस्थायी प्रारंभ कर रहे हैं स्ट्रिंग की और अंत स्ट्रिंग की एंकर।
फर्क देखें:

string = "abcde\nzzzz"
# => "abcde\nzzzz"

/^abcde$/ === string
# => true

/\Aabcde\z/ === string
# => false

तो रेल आपको बता रही है, "क्या आप सुनिश्चित हैं कि आप उपयोग करना चाहते हैं ^और $? क्या आप उपयोग नहीं करना चाहते हैं \Aऔर \zइसके बजाय?"

रेल सुरक्षा चिंताओं पर अधिक है जो इस चेतावनी को यहां उत्पन्न करता है ।

यह चेतावनी इसलिए उठती है क्योंकि आपका सत्यापन नियम जावास्क्रिप्ट इंजेक्शन के लिए असुरक्षित है।

आपके मामले \.(gif|jpg|png)$में पंक्ति के अंत तक मेल खाता है। तो आपका नियम इस मान pic.png\nalert(1);को सत्य मान लेगा :

"test.png\n<script>alert(1)</script>" === /\.(gif|jpg|png)$/i
# => true

"test.png\n<script>alert(1)</script>" === /\.(gif|jpg|png)\z/i
# => false

कार्य पढ़ें:

• http://caiustheory.com/validating-data-with-regular-expressions-in-ruby
• http://guides.rubyonrails.org/security.html#regular-expressions

समस्या regexp devise में नहीं है, बल्कि config / initializers / devise.rb में रहती है। परिवर्तन:

# Regex to use to validate the email address
config.email_regexp = /^([\w\.%\+\-]+)@([\w\-]+\.)+([\w]{2,})$/i

सेवा:

# Regex to use to validate the email address
  config.email_regexp = /\A([\w\.%\+\-]+)@([\w\-]+\.)+([\w]{2,})\Z/i

चेतावनी आपको बता रही है कि निम्नलिखित की तरह तार सत्यापन को पारित करेंगे, लेकिन यह संभवतः नहीं है जो आप चाहते हैं:

test = "image.gif\nthis is not an image"
re = /\.(gif|jpg|png)$/i
re.match(test) #=> #<MatchData ".gif" 1:"gif">

दोनों ^और $किसी भी लाइन, नहीं स्ट्रिंग के प्रारंभ / समाप्ति के प्रारंभ / समाप्ति मेल खाता है। \Aऔर \zक्रमशः पूर्ण स्ट्रिंग की शुरुआत और अंत से मेल खाता है।

re = /\.(gif|jpg|png)\z/i
re.match(test) #=> nil

चेतावनी का दूसरा भाग ("या जोड़ने के लिए भूल गया: बहुस्तरीय => सच्चा विकल्प") आपको बता रहा है कि यदि आप वास्तव में व्यवहार चाहते हैं ^और $आप बस :multilineविकल्प को पारित चेतावनी को चुप कर सकते हैं ।

यदि रूबी सुरक्षा के लिए प्रतीक चिन्ह के \zबजाय देखना चाहती है $, तो आपको उसे देने की आवश्यकता है, फिर कोड इस तरह दिखाई देगा:

validates :image_url, allow_blank: true, format: {with: %r{\.(gif|jpg|png)\z}i, message: 'URL must point to GIF, JPG, PNG.'}