Ruby on rails 3 信任request.local安全吗?用于Rails中的身份验证?
我在Rails 3应用程序中有一个API控制器,用于与同一台机器和远程服务器上的其他应用程序通信 远程服务器使用HTTP基本身份验证来访问API。默认情况下,应允许来自同一服务器的请求 信任request.local是否安全?请求确实来自同一台机器?我正在考虑IP欺骗等Ruby on rails 3 信任request.local安全吗?用于Rails中的身份验证?,ruby-on-rails-3,security,Ruby On Rails 3,Security,我在Rails 3应用程序中有一个API控制器,用于与同一台机器和远程服务器上的其他应用程序通信 远程服务器使用HTTP基本身份验证来访问API。默认情况下,应允许来自同一服务器的请求 信任request.local是否安全?请求确实来自同一台机器?我正在考虑IP欺骗等 顺便说一句,API控制器中禁用了“防止伪造”。对于中等级别的安全性,是的。这要求您信任任何用户可能在同一系统上运行的所有进程。它还要求服务器TCP/IP堆栈、路由和网络过滤器/内部防火墙以合理的方式配置,不允许来自服务器外部的数
顺便说一句,API控制器中禁用了“防止伪造”。对于中等级别的安全性,是的。这要求您信任任何用户可能在同一系统上运行的所有进程。它还要求服务器TCP/IP堆栈、路由和网络过滤器/内部防火墙以合理的方式配置,不允许来自服务器外部的数据包伪装为本地IP地址,特别是127.0.0.1。它假设Rails中的LOCALHOST常量设置为127.0.0.1 顺便说一句,protect_from_facry可防止CSRF,不会也不能防止IP地址欺骗。以及确保请求来自授权IP,并且用户不受CSRF的影响