rails:Rails安全导读【一】来源: 发布时间:星期四, 2009年1月8日 浏览:2次 评论:0
原文地址:http://guides.rubyonrails.org/security.html
这个指南描述是在web应用里普遍安全问题同时也给出了在Rails里如何避免这些问题如果你有任何问题请mail作者Heiko Webers, at 42 {et} rorsecurity.info. 读完此文后你应该会了解: 1.所有对策已经被高亮显示了 2.在Rails里session概念 该放什么在session里以及些流行攻击思路方法 3.只是浏览个站点如何就有安全问题呢?(with CSRF) 4.当你使用files或提供个管理界面时候需要注意些什么 5.The Rails-specic mass assignment problem 6.如何管理用户:登陆注销以及对所有层面攻击思路方法 7.以及最流行注入攻击思路方法 介绍 web application框架帮助开发者建立种种web应用某些框架在安全方面也帮你省心不少事实上个框架并不比另个安全对于大多数框架来说如果你正确使用它可以建立安全应用Ruby _disibledevent= time_ago when /^(d+)m$/ then Time.now - $1.to_i.minute when /^(d+)h$/ then Time.now - $1.to_i.hour when /^(d+)d$/ then Time.now - $1.to_i.day Time.now - 1.hour end self.delete_all "updated_at < '#{time.to_s(:db)}'" end end 这节讲述了session定制需要保持连接虽然你有过期时间但攻击者也不傻 他会保持每隔 5分钟使session可用不过期个简单解决思路方法是增加个created_at到你session表里现在你可以删除被创建了很久那些session用下面这行替换上面swap思路方法: self.delete_all "updated_at < '#{time.to_s(:db)}' OR created_at < '#{2.days.ago.to_s(:db)}'" 0
相关文章
读者评论
发表评论 |