[英]Rails 3.2 - Would sending a POST request from a client application pose any security risks?
我打算在.NET中創建一個客戶端應用程序,該客戶端應用程序會將HTTP POST請求發送到我的Rails應用程序,以便更新數據庫表中的給定值。 我將PostgreSQL用作Rails應用程序的數據庫。 作為POST請求的一部分,我需要發送帶有URL的參數以指定我要更新的信息。 然后,Rails將處理參數並更新數據庫中的正確信息。
我認為這很容易帶來安全風險,因為從理論上講,任何人都可以發送帶有不同參數的POST請求來修改數據庫。 我知道Rails在POST請求中內置了身份驗證令牌,因此我的直覺是我的.NET請求將被拒絕。
我想知道是否有人可以為我提供有關此主題的更多見解。 Rails會接受我的請求嗎?如果可以,可以采取什么保護措施阻止任何人向服務器發出POST請求?
提前致謝!
是的,如果您正確設置了routes.rb文件,您的rails應用程序將接受該帖子。
您真正要問的是“如何在Rails應用程序中創建保存/安全API?”
我已經做了很多,我們要做的是某種身份驗證過程。 這可以是在傳輸過程中加密的共享密鑰(基本加半隨機部分),也可以是實際的登錄過程。
我的建議是要有一個共享密鑰,該密鑰必須加密並包含在POST標頭中。 你可以用類似的東西來檢索它
token = request.env['HTTP_AUTH_TOKEN']
然后將其解密並在接受POST之前驗證半隨機部分
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.