0
我不确定我完全理解安全性和attr_accessible。为什么任何属性都被认为是安全的大规模任务?有一件事是可以将Admin属性设置为true,或者类似的东西。但为什么它被认为是安全的使用户的电子邮件访问?难道不是吗,可能也一样糟糕?Rails和attr_accessible +安全性
A
回答
0
嗯,这是一个长篇大论的辩论,也许这个问题属于上https://security.stackexchange.com/但无论...
拇指遵循的简单规则是:
任何参数,你愿意从接受用户直接输入并将其保存到数据库中即可制成attr_accessible。
用户不应该能够通过表单帖子(比如电子邮件或is_admin等)更改的任何参数都不应该是。
如果您有需要条件验证或允许的属性,例如只有管理员可以设置某些内容,即使它们应该而不是列在attr_accessible列表中。
相关问题
- 1. 更新属性安全性的Rails:使用回调或attr_accessible?
- 2. Rails安全性attr_accessible用户进行未经授权的请求
- 3. attr_accessible在Ruby on Rails 3及其安全影响
- 4. attr_accessible为Rails 4
- 5. 动态attr_accessible in rails
- 6. attr_accessible为Rails 4动态属性
- 7. Rails的3.2.x中协会和attr_accessible
- 8. Ruby on Rails attr_accessible和脚手架
- 9. Rails SRP模块,attr_accessible
- 10. attr_accessible in rails Active Record
- 11. Rails attr_accessible仅适用于seed.rb?
- 12. 使用attr_accessible和attr_protected修复安全漏洞有哪些风险?
- 13. Rails attr_accessible不适用于:type?
- 14. 在rails中绕过attr_accessible/protected
- 15. 在rails和安全会话
- 16. Ruby on Rails和安全
- 17. 路径安全和before_filters rails
- 18. 混合attr_accessible和strong_parameters,如何跳过attr_accessible?
- 19. 可以用attr_accessible在Rails的
- 20. Rails设计attr_accessible问题
- 21. 深嵌套的属性和attr_accessible
- 22. Ruby on Rails中的angular.js安全性
- 23. 在Rails路由中添加安全性
- 24. 用户模型,attr_accessible和admin
- 25. Ajax,PHP和安全性?
- 26. .NET ORM和安全性
- 27. 表单安全性和PHP?
- 28. TextField和安全性违规
- 29. esc_url()和Wordpress安全性?
- 30. Xbootclasspath和Java安全性
http://guides.rubyonrails.org/security.html#mass-assignment – jdoe