許多評論員(例如ZDNet)都表示,GitHub案例中的弱點是模型Homakov discovered was vulnerable已爲其屬性啓用了質量分配。質量分配真的是Homakov的GitHub黑客的罪魁禍首嗎?
但是,我認爲問題不是這樣,而是在控制器中使用before_filter
(或類似的)失敗,以確保他更新的表中的任何給定行只能由管理員更新或通過在該行中列出ID的用戶。如果在控制器中安裝了這樣的過濾器,那麼即使該模型的屬性是可分配的,該桌子也可以從攻擊中得到保護。
我正確嗎?
這也可以工作,但需要設計可能泄漏的特定過濾器。質量分配非常簡單,一行解決了這個基礎問題。 –
儘管如此,集體作業非常方便。啓用質量分配和控制器中的一些過濾器不是更方便,而不是禁用質量分配和控制器中的一大堆解決方法? – sampablokuper