0
我不確定我完全理解安全性和attr_accessible。爲什麼任何屬性都被認爲是安全的大規模任務?有一件事是可以將Admin屬性設置爲true,或者類似的東西。但爲什麼它被認爲是安全的使用戶的電子郵件訪問?難道不是嗎,可能也一樣糟糕?Rails和attr_accessible +安全性
A
回答
0
嗯,這是一個長篇大論的辯論,也許這個問題屬於上https://security.stackexchange.com/但無論...
拇指遵循的簡單規則是:
任何參數,你願意從接受用戶直接輸入並將其保存到數據庫中即可製成attr_accessible。
用戶不應該能夠通過表單帖子(比如電子郵件或is_admin等)更改的任何參數都不應該是。
如果您有需要條件驗證或允許的屬性,例如只有管理員可以設置某些內容,即使它們應該而不是列在attr_accessible列表中。
相關問題
- 1. 更新屬性安全性的Rails:使用回調或attr_accessible?
- 2. Rails安全性attr_accessible用戶進行未經授權的請求
- 3. attr_accessible在Ruby on Rails 3及其安全影響
- 4. attr_accessible爲Rails 4
- 5. 動態attr_accessible in rails
- 6. attr_accessible爲Rails 4動態屬性
- 7. Rails的3.2.x中協會和attr_accessible
- 8. Ruby on Rails attr_accessible和腳手架
- 9. Rails SRP模塊,attr_accessible
- 10. attr_accessible in rails Active Record
- 11. Rails attr_accessible僅適用於seed.rb?
- 12. 使用attr_accessible和attr_protected修復安全漏洞有哪些風險?
- 13. Rails attr_accessible不適用於:type?
- 14. 在rails中繞過attr_accessible/protected
- 15. 在rails和安全會話
- 16. Ruby on Rails和安全
- 17. 路徑安全和before_filters rails
- 18. 混合attr_accessible和strong_parameters,如何跳過attr_accessible?
- 19. 可以用attr_accessible在Rails的
- 20. Rails設計attr_accessible問題
- 21. 深嵌套的屬性和attr_accessible
- 22. Ruby on Rails中的angular.js安全性
- 23. 在Rails路由中添加安全性
- 24. 用戶模型,attr_accessible和admin
- 25. Ajax,PHP和安全性?
- 26. .NET ORM和安全性
- 27. 表單安全性和PHP?
- 28. TextField和安全性違規
- 29. esc_url()和Wordpress安全性?
- 30. Xbootclasspath和Java安全性
http://guides.rubyonrails.org/security.html#mass-assignment – jdoe