active_support 有给 Hash 补上一个叫 except 的方法

但是你无法预估前端会传来什么破坏性的参数，所以反选是不健壮的

https://stackoverflow.com/questions/18844435/rails-4-strong-parameters-can-i-exclude-blacklist-attributes-instead-of-pe

params.require(:user).except!(:account_id, :is_admin).permit!

最好不要这么干，有潜在的安全隐患，还是用白名单吧