[英]How to prevent force_ssl from destroying params in redirect?
我有以下路线:
resources :widgets do
resources :orders
end
因此,例如/widgets/1/orders/new
的请求转到OrderController,它可以访问params[:widget_id]
以了解正在购买的小部件。
问题是这样的:我用force_ssl
在OrderController。 这导致请求:
http://www.example.com/widgets/1/orders/new
被重定向(302)到:
https://www.example.com/
换句话说,force_ssl正在执行其工作(重定向到URL的https协议版本),但正在销毁流程中路由的动态段指定的参数。 我怎样才能防止这种情况发生(更可取)或以最不具攻击性的方式解决这个问题?
请注意,这是在Heroku上托管的,因此例如Apache重定向对我来说不起作用。
我相信force_ssl的默认行为是将参数从非安全连接传递到安全连接。 如果这不是您想要的行为,您可以尝试通过添加如下的初始化程序来覆盖force_ssl函数:
#
# Pass parameters in SSL redirects
#
module ActionController
module ForceSSL
module ClassMethods
def force_ssl(options = {})
host = options.delete(:host)
before_filter(options) do
if !request.ssl? && !Rails.env.development?
secure_params = request.params.clone
[:only, :except, :protocol, :status, :host].each {|s| secure_params.delete(s)}
redirect_options = {:protocol => 'https://', :status => :moved_permanently}
redirect_options.merge!(:host => host) if host
redirect_to redirect_options.merge(secure_params)
end
end
end
end
end
end
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.