Ruby on rails 为什么我们通常不使用http GET的强参数

我见过用于编写HTTP谓词的强参数

例如在rails中

User.new( params.require(:user).permit(:name) )

---

但是通常你不会看到HTTTP GET的这种参数白名单，为什么？我想这一定是因为写入更为敏感，但想不出具体的解释。

添加了强参数，以确保不会更新您未特别允许的模型属性。如果用户能够更改他/她的网站URL，您可能不希望他/她更改role_id属性，如果您不清理输入，这将是微不足道的

---

GET请求通常不用于创建或更新模型。

添加了强参数，以确保不会更新您未明确允许的模型属性。如果用户能够更改他/她的网站URL，您可能不希望他/她更改role_id属性，如果您不清理输入，这将是微不足道的

---

GET请求通常不用于创建或更新模型。

我认为确实是因为写入更敏感。此外，在你的问题中，你描述了新的行动；即使它被篡改，在创建/更新操作中也会有param白名单。我认为这确实是因为写入更敏感。此外，在你的问题中，你描述了新的行动；即使它被篡改，您也会在创建/更新操作中使用param whitelisting..Thx，因此我认为这仅在我们希望直接使用传入的params映射的情况下有用，而不是单独处理每个属性。因为后者将忽略不需要的paramsThx，所以我认为这只在我们希望直接使用传入的params映射的情况下有用，而不是单独处理每个属性。因为后者将忽略不需要的params