Ruby on rails 通过删除受保护的参数实现冗余安全性？_Ruby On Rails_Security - Fatal编程技术网

Ruby on rails 通过删除受保护的参数实现冗余安全性？

ruby-on-rails security

Ruby on rails 通过删除受保护的参数实现冗余安全性？,ruby-on-rails,security,Ruby On Rails,Security,在Rails 3中，我们可以定义可访问属性： attr_accessible :rating, :review 在这个模型中，有额外的用户id，它受到保护以防止伪造/黑客攻击。此值在控制器中指定： @review.user_id = current_user.id 如果我使用Firebug手动包含用户id，它将是参数[:review]的一部分，但当然，由于用户id未在属性访问中定义，因此它不会保存到数据库中。这种情况比较安全问题1 我在Rails 3 in Action书中读到了，包括了Y

在Rails 3中，我们可以定义可访问属性：

attr_accessible :rating, :review

在这个模型中，有额外的

用户id

，它受到保护以防止伪造/黑客攻击。此值在控制器中指定：

@review.user_id = current_user.id

如果我使用Firebug手动包含

用户id

，它将是

参数[:review]

的一部分，但当然，由于

用户id

未在

属性访问中定义，因此它不会保存到数据库中。这种情况比较安全
问题1
我在Rails 3 in Action书中读到了，包括了Yehuda Katz。删除在执行进一步操作之前删除未经授权的参数的方法：params[：review]。删除（：user_id）
。我应该包括这一点以进一步保护我的应用程序，还是忽略这一步
问题2
如果我应该包括上面的方法，我希望有类似于.delete_all_，除了
的东西，只将其剥离到参数中允许的属性。我该怎么做
谢谢。
如果启用，Rails 3.2将在向模型发送额外质量分配参数时通过异常
config/application.rb
config.active_record.whitelist_attributes = true

与其删除您不想要的参数，我建议只接受您想要的参数：
@user.update_attributes params[:user].slice(:rating, :review)

这将只返回您允许的用户参数
注意：在Rails4（coming-soonish）中，此行为是通过名为的DSL实现的。您现在可以在Rails 3.2中安装此gem来实现：
@user.update_attributes params.require(:user).permit(:rating, :review)

因此，即使定义了attr\u accessible
之后，仍然建议slice
所需参数？如果希望发生异常，则不要对参数进行切片。




[security]相关文章推荐



                                                        
Security 升级和安全实施（Access 2000-2003及以上）
securityms-access 
Security 在受损机器上部署软件
securitylanguage-agnostic 
Security 安全性：将web应用程序外部的目录映射到TOMCAT中的URL
securityweb-applicationstomcatvaadin 
Security Opera安全和解析为公共和私有IP的站点
security 
Security 与“；完全控制”；不允许在具有客户组的所有者组中添加用户
securitysharepoint-2010 
Security 同步CRM 2011和SharePoint安全性
securitysharepoint-2010synchronizationdynamics-crm-2011 
Security 更改PyroCMS'；s管理员访问url
securityroutes 
Security 考虑Moore'；什么是法律？
securityencryptionpasswords 
Security SIM卡锁定的手机是否接收短信？
securitymobilesms 
Security 如果没有会话和cookie等，如何实现captch。
security 
Security HTTP错误401.0-全新mvc4应用程序未经授权
securityasp.net-mvc-4 
Security Rails 4:session value never“；“到期”；或在浏览器关闭时死亡
securityauthenticationruby-on-rails-4 
Security 抑制通过URL登录导致的对话框
securityhttpurlnetworkingweb 
Security 使用CreateProcessWithLogonW的作业控制
securitywinapiprocess 
Security 如何在owasp.properties文件中指定未受保护的子目录？
security 
Security 使用c在asp.net中实现GSRF样本核心项目#
security 
Security 无法删除某些Sitecore 8外部网用户
securitysitecore 
Security freenas在控制台上更改密码-缺少有关旧密码的问题
security 
Security 如何在.Net核心Web API中有条件地要求身份验证
securityasp.net-coreauthentication 
Security 我将api密钥推送到github中的公共存储库
securitygoogle-cloud-platformcloud 
                                       





随机文章推荐



                                                        
Crystal reports Crystal报告中的复选框
crystal-reports 
Crystal reports 水晶报告错误
crystal-reports 
Crystal reports crystal reports:left（）函数输出符号？
crystal-reports 
Crystal reports 在crystal报表中启用交叉表增长
crystal-reportsformatting 
Crystal reports 在查询字符串中传递单击的超链接文本
crystal-reports 
Crystal reports 交叉表总计行额外单元格
crystal-reports 
Crystal reports 如何分页符水晶报告在字母表的变化。
crystal-reports 
Crystal reports 报告公式中的舍入小数
crystal-reports 
Crystal reports 如果crystal中的字段值为空，则抑制文本对象
crystal-reports 
Crystal reports 水晶报告分组
crystal-reports 
Crystal reports 水晶报表子报表链接
crystal-reportsreport 
Crystal reports 水晶报告：特殊领域翻译
crystal-reports 
Crystal reports 组更改时条件格式重置
crystal-reports 
Crystal reports 从存储过程更新rpt中的字段
crystal-reports 
Crystal reports 错误的结果公式-字段的顶部属性设置
crystal-reports 
Crystal reports 如何在ASP.net MVC中使用Crystal Report viewer而不使用.aspx？
crystal-reports 
Crystal reports 水晶报告保留零
crystal-reports 
Crystal reports 从多个报告创建图表
crystal-reports 
Crystal reports 按日期分组会产生不正确的结果
crystal-reports 
Crystal reports SAP Business Intelligence表对表
crystal-reports


                                        

                                        
                                        


                                                
                                                        [ruby on rails]相关推荐
                                                        
Ruby on rails 调用操作以在RubyonRails中发送电子邮件
									Ruby On Rails
							 									Email
							 
Ruby on rails Rails如何选择视图模板（如果它是'；s Mobile和AJAX调用
									Ruby On Rails
							 									Ajax
							 									Mobile
							 
Ruby on rails 指定两次资源的命名空间API
									Ruby On Rails
							 
Ruby on rails Rails：未定义的方法&x27；型号名称'？我是否在create上保存了错误的内容？
									Ruby On Rails
							 
Ruby on rails 如何使用active admin在同一页面上显示来自多个模型的数据？
									Ruby On Rails
							 
Ruby on rails 未定义的方法“键”和#x27；对于nil:nilclasserubyonrails
									Ruby On Rails
							 
Ruby on rails rails中url的表单_的正确语法
									Ruby On Rails
							 
Ruby on rails 运行rake命令时出现的问题
									Ruby On Rails
							 									Ruby
							 
Ruby on rails 在RubyonRails中将图像添加到工具提示中
									Ruby On Rails
							 									Twitter Bootstrap
							 									Coffeescript
							 
Ruby on rails Omniauth不与heroku合作
									Ruby On Rails
							 									Heroku
							 
Ruby on rails 在Rails应用程序中连接到Google Analytics API
									Ruby On Rails
							 									Ruby
							 									Google Analytics
							 									Google Api
							 
Ruby on rails Rails序列化程序isn'；在Mongoid嵌入式类上调用
									Ruby On Rails
							 									Ruby
							 
Ruby on rails 将块选项传递给辅助对象
									Ruby On Rails
							 									Ruby
							 									Ruby On Rails 4
							 
Ruby on rails 链接时缺少必需的键
									Ruby On Rails
							 									Ruby On Rails 4
							 
Ruby on rails Rails 4从头开始的用户身份验证当前用户==nil？
									Ruby On Rails
							 									Ruby
							 									Authentication
							 
Ruby on rails Rails是实现站点范围通知的一种方法
									Ruby On Rails
							 									Ruby
							 									Notifications
							 
Ruby on rails 空参数-的形式
									Ruby On Rails
							 									Passwords
							 
Ruby on rails 按所有权筛选记录
									Ruby On Rails
							 									Ruby On Rails 4
							 
Ruby on rails 更新的ruby和rails给.new.update方法带来了错误
									Ruby On Rails
							 									Ruby
							 									Ruby On Rails 4
							 
Ruby on rails Rails、活动管理、嵌套表单、动态标签值-表单对象的问题
									Ruby On Rails
							 
Ruby on rails jRuby/RubyonRails数据库关系和数据检索
									Ruby On Rails
							 
Ruby on rails 在Rails中要求支付API的正确方法
									Ruby On Rails
							 									Ruby
							 									Ruby On Rails 3
							 									Ruby On Rails 4
							 
Ruby on rails 如何获取表单项的ActiveRecord\u Associations\u CollectionProxy值
									Ruby On Rails
							 									Forms
							 									Activerecord
							 
Ruby on rails RubyonRails赢得'；t安装在MacOS Sierra上
									Ruby On Rails
							 									Ruby
							 									Macos
							 
Ruby on rails ActiveAdmin全球化创建索引过滤器
									Ruby On Rails
							 									Ruby
							 
Ruby on rails Ruby/Rails：使用URI获取url扩展
									Ruby On Rails
							 									Ruby
							 									Url
							 
Ruby on rails 带有可选参数且省略了命名参数的函数无法接收模型实例
									Ruby On Rails
							 									Activerecord
							 
Ruby on rails 错误：ServiceError-部署应用程序失败。论弹性豆茎
									Ruby On Rails
							 									Amazon Web Services
							 
Ruby on rails Rails-关闭当前数据库连接
									Ruby On Rails
							 									Postgresql
							 
Ruby on rails 如何在模块外部调用方法
									Ruby On Rails
							 									Ruby
							 
                                                        
                                                

                                                
                                                        Tags
                                                        
Linq
Html5 Canvas
Selenium Webdriver
Azure Ad B2c
Svn
Windows 10
Prestashop
Sharepoint
Webstorm
Rspec
Devexpress
Windows Store Apps
Ravendb
D3.js
Gtk
Openerp
Install4j
Combobox
Uiview
Neo4j
Odata
Coding Style
Doctrine Orm
Wpf
Cmake
Terraform
Android
Postman
Email
Inheritance
Netbeans
C# 4.0
Windows Runtime
Smtp
Tcp
Gulp
Checkbox
Tomcat
Linker
Matplotlib
Computer Science
Orientdb
Matrix
Blackberry
Google Apps Script
Cocos2d X
C#
Operating System
Graphql
Report
Layout
Interface
Angular Material
Google Visualization
Openid
Authentication
Ember.js
Winapi
Mod Rewrite
Razor
Encoding
Bash
Azure Active Directory
Aem
Routing
Maps
Db2
Openlayers
Routes
Windows Mobile
Sprite Kit
Login
Xml
Recursion
Shell
Build
Database
Spring Batch
Browser
Express
Ms Word
Sqlite
Nsis
Cmd
Xmpp
Nest
Macros
Server
Haskell
Arangodb
Asp.net Core
Visual Studio 2010
Performance
Hibernate
Sharepoint 2010
Tinymce
Dictionary
Optimization
Jaxb
Batch File
Fiware
Pyspark
Csv
Amazon Dynamodb
Netlogo
Gradle
Redirect
Loopbackjs
Scrapy
Parsing
Ecmascript 6
Azure Devops
C
Templates
Rx Java
Akka
Openstack
Visual Studio 2013
Unity3d
Pytorch
Active Directory
Docker Compose
Compiler Construction
Notepad++
Binding
Ios8
Jboss
Salesforce
Inno Setup
Indexing
Rust
Cookies
Stanford Nlp
Yaml
Qml
Amazon Web Services
Jar
Opencl
Sapui5
Javascript
Eclipse
Django Models
Ruby On Rails 4
Omnet++
Ajax
Visual Studio Code
Sql
Nlp
Iframe
Project Management
Groovy
Listview
Blockchain
Directory
Vmware
Sencha Touch
C# 3.0
Debugging
Amazon Redshift
Apache Nifi
Rabbitmq
Encryption
Wxpython
Xamarin.forms
Dns
Octave
Phpmyadmin
Neural Network
Asterisk
Karate
Angular6
Playframework 2.0
Timer
Cordova
Python 3.x
Gnuplot
Generics
Leaflet
System Verilog
Redis
Linux Kernel
Time Complexity
Marklogic
Libgdx
Module
Windows 7
Elixir
Mobile
D
Architecture
Collections
Python Sphinx
Testng
Firebase
Swiftui
Firefox
C++
Google Chrome Devtools
Android Studio
Arduino
Sass


                

                        
						
                        
                                
                                        
                                                
                                                        
                                                                Copyright © 2024. All Rights Reserved by  - Fatal编程技术网