link_to(nil, HogeModel.new.hoge_url, target: :_blank, rel: "noopener noreferrer")

すげえ怒られる。

Brakeman - Cross Site Scripting: link to HREF

Brakeman Static Analysis Security Scanner for Ruby on Rails

https://brakemanscanner.org

Even though Rails will escape the link provided to link_to, values starting with “javascript:” or “data:” are unescaped and dangerous.Brakeman will warn on if user values are used to provide the HREF value in link_to or if they are interpolated at the beginning of a string.The --url-safe-methods option can be used to specify methods which make URLs safe.

Railsはlink_toに提供されたリンクをエスケープするにもかかわらず、"javascript: "や "data: "で始まる値はエスケープされず、危険です。Link_toのHREF値を提供するためにユーザ値が使われたり、文字列の先頭に補間されたりすると、Brakemanは警告を出します。

モデルのカラムを href に直接指定すると怒られるっぽい。

to_s すると回避できた。

link_to(nil, HogeModel.new.hoge_url.to_s, ...)