Redirect 刹车手无保护重定向,用于导轨、S3、回形针
我收到刹车员的警告。正如他们所说,依赖于用户提供的值的重定向可以被用来“欺骗”网站或在看起来无害的URL中隐藏恶意链接。如果目的地未经验证,它们还可以允许访问站点的受限区域Redirect 刹车手无保护重定向,用于导轨、S3、回形针,redirect,protected,brakeman,Redirect,Protected,Brakeman,我收到刹车员的警告。正如他们所说,依赖于用户提供的值的重定向可以被用来“欺骗”网站或在看起来无害的URL中隐藏恶意链接。如果目的地未经验证,它们还可以允许访问站点的受限区域 |置信度|类|方法|警告类型|消息 |High | DocumentsController |下载|重定向|第46行附近可能存在未受保护的重定向:重定向到(+Document.find(params[:id]).f 在我的控制器中,我创建了一个方法download,该方法获取文件URL(存储在Amazon S3上的文件和我数
|置信度|类|方法|警告类型|消息
|High | DocumentsController |下载|重定向|第46行附近可能存在未受保护的重定向:重定向到(+Document.find(params[:id]).f
在我的控制器中,我创建了一个方法download
,该方法获取文件URL(存储在Amazon S3上的文件和我数据库中的URL,感谢回形针),并创建一个URL(即文档URL
),由于,该URL将持续3秒(供用户下载)。过期URL(3)
我一直试图通过Brakeman的验证,但没有成功。正如您在上面看到的,我试图检查URL中是否存在my domain,但它没有更改Brakeman的报告
知道如何继续吗?我也有类似的问题。我通过使用下面这样的强参数通过了警告,尽管我不知道它为什么会工作
redirect_to referer_param
def referer_param
params.require(:referer)
end
我也有类似的问题。我通过使用下面这样的强参数通过了警告,尽管我不知道为什么它会工作
redirect_to referer_param
def referer_param
params.require(:referer)
end