Esse vídeo afirma que é possível proteger a entrada que entra através do controlador e ainda assim ser capaz de realizar a atribuição em massa através de modelos e especificações. No entanto, eu não vi isso documentado como um recurso ao usar strong_parameters no 3.2.8.

Eu entendo que preciso misturarActiveModel::ForbiddenAttributesProtection em meus modelos e conjuntoconfig.active_record.whitelist_attributes = false emconfig/application.rb. Eu também tirei todos os meusattr_accessible chamadas do modelo.

Com ou sem o mixin, estou recebendo erros de atribuição em massa.

ActiveModel::MassAssignmentSecurity::Error: Can't mass-assign protected attributes: home_phone, cell_phone

Estou esquecendo de algo?