我有一个应用程序,我正在写轨道3 W /康康和设计。我很好奇,从安全的角度来看,授权控制器上的后置操作是必要的还是有用的?假设我所有的控制器动作都需要认证w/devise(即用户必须登录)。发布操作需要Rails授权吗?
我可以看到为什么我需要通过cancan对我的控制器使用GET的操作进行授权,因为用户可以简单地输入他们希望自由访问的url并且必须锁定。但是,对于帖子,用户必须从表单发布数据,该表单通过令牌防止xss攻击。
在这种情况下,假设如果我限制在我的视图中使用cancan的按钮的可见性,用户将无法恶意提交表单,那么是否安全?
非常感谢
编辑:
感谢您的快速答复家伙。正如下面已经指出的,恶意用户可以使用诸如萤火虫之类的工具伪造一个表格帖子,因此授权是必要的。
使用水豚/黄瓜来模拟这种类型的交互(用户张贴到他们已被黑客入侵的URL)的最佳方式是什么?
再次感谢。