原文地址:http://guides.rubyonrails.org/security.html

　　这个指南描述是在web应用里普遍安全问题同时也给出了在Rails里如何避免这些问题如果你有任何问题请mail作者Heiko Webers, at 42 {et} rorsecurity.info.　 读完此文后你应该会了解:

　　1.所有对策已经被高亮显示了

　　2.在Rails里session概念 该放什么在session里以及些流行攻击思路方法

　　3.只是浏览个站点如何就有安全问题呢？(with CSRF)

　　4.当你使用files或提供个管理界面时候需要注意些什么

　　5.The Rails-specic mass assignment problem

　　6.如何管理用户:登陆注销以及对所有层面攻击思路方法

　　7.以及最流行注入攻击思路方法

　　　介绍

　　web application框架帮助开发者建立种种web应用某些框架在安全方面也帮你省心不少事实上个框架并不比另个安全对于大多数框架来说如果你正确使用它可以建立安全应用Ruby _disibledevent= time_ago
　　　　　　 when /^(d+)m$/ then Time.now - $1.to_i.minute
　　　　　　 when /^(d+)h$/ then Time.now - $1.to_i.hour
　　　　　　 when /^(d+)d$/ then Time.now - $1.to_i.day
　　　　　　 Time.now - 1.hour
　　　　 end
　　　　 self.delete_all "updated_at < '#{time.to_s(:db)}'"
　　 end

　　end

　　这节讲述了session定制需要保持连接虽然你有过期时间但攻击者也不傻 他会保持每隔 5分钟使session可用不过期个简单解决思路方法是增加个created_at到你session表里现在你可以删除被创建了很久那些session用下面这行替换上面swap思路方法:

self.delete_all "updated_at < '#{time.to_s(:db)}' OR created_at < '#{2.days.ago.to_s(:db)}'"