升级到 Rails 6.1.6.1 会导致 Psych::DisallowedClass: 尝试加载未指定的类: Symbol

2024-01-02

升级到 Rails 6.1.6.1 时，我开始在应用程序中收到以下错误：

Psych::DisallowedClass:
        Tried to load unspecified class: Symbol

这是由于使用HashActiveRecord 列上的序列化程序，它使用符号作为键或值：

serialize :parameters, Hash

发生该错误的原因是 Rails 中的以下安全更新：https://discuss.rubyonrails.org/t/cve-2022-32224-possible-rce-escalation-bug-with-serialized-columns-in-active-record/81017 https://discuss.rubyonrails.org/t/cve-2022-32224-possible-rce-escalation-bug-with-serialized-columns-in-active-record/81017

The Hash序列化器显然加载了数据YAML.unsafe_load，现在改为YAML.safe_load。这个新方法不处理诸如Symbol or Time出于安全原因默认。

解决方法为公告 https://discuss.rubyonrails.org/t/cve-2022-32224-possible-rce-escalation-bug-with-serialized-columns-in-active-record/81017建议将序列化程序迁移到 JSON 或在序列化中仅使用安全数据类型（字符串、数字）。

但是，有两种可配置的快速解决方法：

config.active_record.use_yaml_unsafe_load

不建议这样做，因为它基本上会恢复到旧的行为。

config.active_record.yaml_column_permitted_classes = [Symbol]

它允许序列化符号或其他不受支持（或不安全）的数据类型。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

rubyonrails

activerecord

升级到 Rails 6.1.6.1 会导致 Psych::DisallowedClass: 尝试加载未指定的类: Symbol 的相关文章

创建一个默认为零的工厂关联？

在factories rb 文件中使用FactoryGirl gem 如何创建一个关联默认为nil 的工厂我正在思考以下几点 Factory define user do factory factory association post
将 Rack::Deflater 插入机架中的哪个位置？

我目前有以下内容 use Rack Rewrite use Rack Cache verbose gt true metastore gt memcached localhost 11211 rack cache meta entityst
rspec 中的模拟方法链

有一系列方法可以获得user目的我试图模拟以下内容以返回user in my Factory Girl current user AuthorizeApiRequest call request headers result 我可以模拟该
升级到 Rails 6 时是否有一种编程方法可以检测 Zeitwerk::NameError？

我目前正在将旧的 Rails 应用程序迁移到 Rails 6 好像项目中有些文件和里面定义的类不一致运行应用程序测试时我没有看到此错误但部署后我收到如下错误 Zeitwerk NameError expected file app my
如何全局忽略 UTF-8 字符串中的无效字节序列？

我有一个 Rails 应用程序从 Rails 版本 1 以来的迁移中幸存下来我想忽略all其上的无效字节序列以保持向后兼容性我不知道输入编码示例 gt Men xFC split n ArgumentError invalid by
如何加载 UrlHelper 和 Rails 中的路线？

我想包括路线和link toPORO 中的方法在控制台中测试这个时我遇到了这个如果我在没有路由助手的情况下包含 UrlHelper 一切似乎都工作正常 ruby 1 9 3 rc1 001 gt Rails version gt 3
默认：Rails 资源路由的排除选项

一个小问题我正在将 Rails 用于 REST API 但由于它是 RESTful API 所以我并不真正需要 new or edit我的任何资源的路由因为人们只会完全通过自动 JSON 请求而不是图形方式与此 API 交互例如不需
Yii2 修改 Model search() 中的 find() 方法

我试图修改模型搜索中的 find 方法但它抛出错误必须设置数据提供程序属性这是我的搜索模型 public function search params userID Yii app gt user gt identity gt id
Rails Active Storage - 保留现有文件/上传吗？

我有一个 Rails 模型 has many attached files 默认情况下通过 Active Storage 上传时如果您上传新文件它会删除所有现有上传内容并将其替换为新文件我有一个控制器破解由于多种原因它不太理想
从 Rails 3.1.3 升级到 Rails 3.2.1。资产错误

我尝试将应用程序从 Rails 3 1 3 升级到 Rails 3 2 1 但资产出现问题我有这样的错误 ActionController RoutingError No route matches GET assets logos op
在 postgresql 中查找和汇总具有重叠记录的日期范围

我有一个大型数据集我想对记录具有重叠时间的计数进行求和例如给定数据 id 1 name A start 2018 12 10 00 00 00 end 2018 12 20 00 00 00 count 34 id 2 name B
有没有办法避免自动更新 Rails 时间戳字段？

如果您有数据库列created at and updated at当您创建和更新模型对象时 Rails 将自动设置这些值有没有办法在不接触这些列的情况下保存模型我正在引入一些旧数据我想根据不同名称的旧数据字段中的相应值设置这些值
Capistrano：deploy.rb 文件重构

我的deploy rb中有以下代码 namespace app do desc copies the configuration frile from shared config yml to config task copy config
ubuntu 12.04 ruby 2.0 Rails：找不到“thread_safe”

我正在 ubuntu 12 04 上安装 Rails 使用以下方法手动安装如何在 Ubuntu 12 04 上正确安装 ruby 2 0 0 https stackoverflow com questions 16222738 how t
用于 S3 私有文件的 ActiveStorage

到目前为止我一直在使用 Paperclip 将一些文件上传到 S3 其中一些文件不是公开的 Paperclip 允许通过以下位将一些文件作为私有文件上传 has attached file image styles large 2000x
Rails 如何使用 send_data 导出数据，然后重定向到新页面？

我有一个 Rails 应用程序允许用户下载生成的 CSV 文件下载文件后我想将用户重定向到新的 URL 或操作有没有在 send data 之后进行重定向的技巧我想做这样的事情这不起作用 send data output typ
如何将 devise/omniauth 重定向到我登录的页面？

我通过omniauth 进行了身份验证并且该链接通过layout application html haml 在每个页面上都可用然而当他们完成omniauth身份验证后他们都会进入root权限我如何设置它以便他们重定向到他们单击
<%=h ... %> 在 Rails 中意味着什么？

I found here http api rubyonrails org classes ActionView Helpers RecordTagHelper html以下语法什么是h means 它用于转义标签的输出以避免跨站点脚本
Rails content_for 和yield 之间有什么区别？

例如 content for stuff vs yield stuff 我知道它们的实现略有不同但是有任何真正的功能差异吗是否有普遍接受的最佳实践 yield是您指定内容区域在布局中的位置的方式你可能有这样的事情 div h1 Thi
如何让 Sidekiq 在 Heroku 上运行？

这是我第一次尝试让 Redis 在 Heroku 上运行我添加了一个工作dyno 就在今天所以还没有付款添加了RedisToGo Nano附加组件在我的本地机器上测试了后台作业并将应用程序推送到heroku heroku ps g

随机推荐

jquery ajax同步调用beforeSend

我有一个函数叫做 function callAjax url data ajax url url same domain data data cache false async false use sync results beforeSe
如何在 Firefox Android 上安装我的 .xpi

我使用 JPM 开发 Firefox 插件我想将其安装在我的 Android 手机上我已运行 jpm xpi 并将 xpi 复制到我的 SD 卡上当我在 android firefox 中浏览到 file path to my xpi
Spark 中的错误“未解析的运算符 InsertIntoStatement LogicalRDD”是什么意思？

当尝试在一些测试中运行相当简单的插入语句时我收到以下错误 E pyspark sql utils AnalysisException unresolved operator InsertIntoStatement LogicalRDD n
为什么会出现“org.hibernate.hql.internal.ast.QuerySyntaxException：客户未映射[来自客户]”错误

我面临以下错误类型异常报告消息请求处理失败嵌套异常是 java lang IllegalArgumentException org hibernate hql internal ast QuerySyntaxException 客户未
与锁相比，原子/互锁变量的速度有多快，无论是否存在争用？ [复制]

这个问题在这里已经有答案了与无争议的原子变量例如std atomic
龙卷风如何停止当前的请求处理程序？

有一些子类继承ManageHandler 并且每个子类都需要进行私有检查所以我写private auth并让它进行私人检查 init 并在 GET POST 方法之前调用它如果私有检查失败则返回 404 错误然而它不起作用那么
为什么说 Erlang 比 Java 和 C++ 更适合网页游戏的服务器端编程？

我不太明白 Erlang 怎么会比 C 更高效呢 Erlang 的效率远低于 C Erlang 的一大优势是可扩展性而不是效率它将跨多个 CPU 线性扩展并且由于其编程和通信模型将非常容易地跨机器集群扩展需要明确的是 Erlang
http_build_query函数过多的url编码

为什么在构建查询字符串时http build query函数它对方括号进行urlencode 外部价值观以及如何摆脱它 query array var gt array foo gt value bar gt encodedBracket
jspdf Devnagari(尼泊尔语/印地语) 字体

我想使用 jspdf 生成梵文尼泊尔印地语字体的 pdf 它可以工作但有些文字无法正确显示例如 const doc new jsPDF doc addFileToVFS akchyar unicode ttf nepali doc
opencv 拉普拉斯函数无法像文档中那样有效工作

这是我的代码 img original cv2 imread sudoku original jpg 0 cv2 imshow original img original laplacian cv2 Laplacian img origin
从 Amazon S3 下载图像时如何使用 Picasso 库？

我将图像存储在 Amazon S3 上我使用以下代码从 Amazon S3 下载图像 S3ObjectInputStream content s3Client getObject bucketname url getObjectConte
在java中将原始类型数组转换为对象数组

为什么我不能在java中做到这一点 Object o Object new int 0 1 2 3 14 4 我有一个方法它接收一个对象然后将其表示为字符串但这取决于他的类型原始原始包装器数组等当我创建单元测试时我将数组传递
抓取
标签和包含链接的数据列表时出现问题

这是我用 Python Beautifulsoup 抓取的 HTML 示例 dl dd strong a href http www eslcafe com jobs china index cgi read 45790 Monthly 1
angularjs - 控制器中的承诺从未得到解决

在我的控制器中我得到了另一个服务的承诺我向其中添加了一个 then 子句但 then 从未被调用看看这个笨蛋 http plnkr co edit dX0Oz1 p preview http plnkr co edit dX0Oz1
Rocksdb.errors.RocksIOError：IO错误：锁定文件时：sample.db/LOCK：资源暂时不可用

如何删除rocksDB上的锁我尝试运行以下代码但出现以下错误 Running on http 127 0 0 1 5000 Press CTRL C to quit Restarting with stat Traceback most
如何在 Twig 中使用 PHP 模板引擎而不是 Silex 中的 Twig 语法

在 Silex 中我可以使用 Twig 模板但我想使用 Twig 的 PHP 引擎而不是 Twig 语法例如本指南 http symfony com doc current cookbook templating PHP html描
我们如何知道弹出窗口 url 何时加载（window.open）？

我需要在完成加载后立即更改弹出窗口中页面的 URL 我正在使用 window open 函数调用无论如何我可以找出弹出窗口中的页面何时完成在父窗口中的加载吗我无法更改在弹出窗口中打开的页面中的任何内容因为它属于另一个网站 windo
在 data.table 中创建新列[重复]

这个问题在这里已经有答案了我在 R 的 data table 中有几个名为 A1 A2 A3 A50 的列字面意思不幸的是我的表中的列不是按字母顺序排列的我想创建一个名为 sumA 的新列其中包含 A1 A2 A50 有什么简单
如何在 Rust 中操作二进制数？

我如何在 Rust 中处理和执行数学运算例如添加或除两个二进制数在Python中有像这样的东西 https kite com python answers how to add two binary numbers in python
升级到 Rails 6.1.6.1 会导致 Psych::DisallowedClass: 尝试加载未指定的类: Symbol

升级到 Rails 6 1 6 1 时我开始在应用程序中收到以下错误 Psych DisallowedClass Tried to load unspecified class Symbol 这是由于使用HashActiveRecord

升级到 Rails 6.1.6.1 会导致 Psych::DisallowedClass: 尝试加载未指定的类: Symbol

升级到 Rails 6.1.6.1 会导致 Psych::DisallowedClass: 尝试加载未指定的类: Symbol 的相关文章

随机推荐

热门标签