0
我看到,當我們的名字在配置文件的路徑,像這樣:如何有一個路線從代碼只訪問,而不是從URL
match 'controller/posts' => 'controller#posts', :as => 'posts'
它創建與動作控制器命名路線。
但是這條路線需要從代碼中訪問。說我點擊帖子按鈕時,它應該爲用戶執行此操作。
但是,當某人執行www.xyz.com/posts時,它不應該嘗試執行此操作。那可能嗎 ?
A
回答
1
我不確定你爲什麼會這樣做。這聽起來像你想要的是能夠從另一個控制器調用特定位的代碼。所以一條路線不會因爲你提到的原因而工作(它可以在瀏覽器中使用)。
相反,你應該提取這段代碼並將其放入它自己的庫中。
的lib/foobar.rb:
module Foobar
def my_method
# add your code here
end
end
然後你可以從徘徊無論你想在你的代碼中調用它。
1
不,如果有人在瀏覽器中輸入URL而不是點擊鏈接,則無法設置路由並拒絕訪問。
它聽起來像你試圖做的是阻止用戶猜測一個URL。有幾個選項來做到這一點:
- 需要驗證的URL
- 使用中這是很難猜測的URL唯一令牌(/職位/ 1122bbbbababab/1)
你可以使用devise進行身份驗證。
要使用令牌,你可以設置像一個路線:
match 'controller/{some unique token here}/posts' => 'controller#posts', :as => 'posts'
看一看在Rails guide on Routes其他方式來設定的路線上的約束。
+0
其實對於一個POST路由來說,它*有可能進一步發展,例如對請求進行數字簽名,和/或使用一個隨機數,以便只有先前呈現的HTML表單(或其自動化)可以通過一些額外的隱藏領域。這可以用來防止重複請求攻擊。不清楚OP是否會從中受益,還是要求更根本性的安全問題(您的回答地址)。您對獨特令牌的建議非常接近我認爲OP所要求的。 –
+0
關於POST請求和nonce的好處。這可以是URL請求的一部分,通過使用public/private crypto來生成一段有效的簽名令牌(類似於csrf-token rails生成的)。我會用這個更新我的答案。 – roo
相關問題
- 1. 如何從Django代碼訪問urls.py中的所有url?
- 2. 如何從路線訪問NancyContext?
- 3. 只允許從應用程序代碼/鏈接訪問AngularJS路線
- 4. ClassLoader只從類路徑工作,而不是url
- 5. 如何從父路線訪問兒童路線中的數據?
- 6. X射線:從文件中讀取HTML,而不是一個URL
- 7. 這不是一個有效的源代碼路徑/ URL - Git Bash
- 8. 如何從一個url加載xml而不是.NET中的文件路徑?
- 9. 如何從C代碼訪問Ruby AST?
- 10. 如何從java代碼訪問applet?
- 11. 如何從Node.js代碼訪問Event Loop?
- 12. 如何從Python代碼訪問$ {buildout:directory}?
- 13. 如何從javascript代碼訪問appInsights.context
- 14. 如何從代碼背後訪問templatefield
- 15. 可達代碼,而不是所有的代碼路徑返回一個值
- 16. 如何從Slim 3 php框架訪問所有路線?
- 17. 繪製點劃線(....)線索路徑,而不是一個線路(________)
- 18. 訪問的資源是從主代碼
- 19. PowerShell新SmbMapping驅動器只能從Powershell訪問,而不是Windows
- 20. 無法訪問從代碼
- 21. 從代碼訪問網站
- 22. UITableView - 從ViewWillAppear訪問代碼
- 23. 從swift代碼訪問UITabBarController
- 24. 任何代碼如何從uitabbarcontroller訪問viewcontroller的代碼示例?
- 25. 只有一個線程可以訪問特定部分的代碼?
- 26. 只允許從eddystone url訪問webapp
- 27. 如何定製路線優化代碼以顯示完整的路線而不是路線摘要?
- 28. 只能從一個類訪問
- 29. PHP - 只允許從一個域訪問
- 30. 如何從C#代碼調用URL url
對我來說不是100%清楚你的意思是「這條路線需要從代碼中訪問」?你是否在問如何創建一個控制器,它將*只響應你之前呈現的HTML請求?你的應用程序是否已經有認證和用戶會話? –