Rails和attr_accessible +安全性
[英]Rails and attr_accessible + security
問題描述
我不確定我是否完全了解安全性和attr_accessible。 為什么將任何屬性視為可安全進行批量分配? 一件事就是能夠將Admin屬性設置為true或類似的東西。 但是為什么認為例如使用戶可以訪問電子郵件是安全的呢? 難道不是一樣糟糕嗎?
1 個解決方案
解決方案1
0 已采納 2012-11-22 13:55:38
好吧,這是一場漫長的辯論,也許這個問題屬於https://security.stackexchange.com/,但無論如何...
遵循的簡單經驗法則是:
您願意直接從用戶輸入中接受並將其保存到數據庫中的任何參數都可以設置為attr_accessible 。
用戶應該不能通過表單發布來更改的任何參數(例如,電子郵件或is_admin等)都不應如此。
如果您有需要有條件地驗證或允許的,只喜歡管理員可以設置的東西,即使如此,他們不應該在attr_accessible列表中列出的屬性。
Rails更新屬性安全性:使用回調還是attr_accessible?
[英]Rails updating attribute security: use a callback or attr_accessible?
Ruby on Rails 3中的attr_accessible及其安全隱患
[英]attr_accessible in Ruby on Rails 3 and its security implications
使用 rails 的 attr_accessible/security 問題 - 處理這個問題的最佳方法是什么?
[英]attr_accessible/security question with rails - what is the best way to deal with this?
Rails安全attr_access可訪問的用戶發出未經授權的請求
[英]Rails security attr_accessible users making unauthorized requests
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
用於 Rails 4 的 attr_accessible
rails 4中的attr_accessible
Rails更新屬性安全性:使用回調還是attr_accessible?
Ruby on Rails 3中的attr_accessible及其安全隱患
使用 rails 的 attr_accessible/security 問題 - 處理這個問題的最佳方法是什么?
Rails安全attr_access可訪問的用戶發出未經授權的請求
Rails 4 - 郵箱attr_accessible
Rails中的動態attr_accessible
Ruby on Rails 4的attr_accessible
將attr_accessible從Rails 3升級到Rails 4
相關標簽