-1

我应该如何保护我在 Rails 中创建的社区驱动网站?这个网站包括一个微博服务和我从头开始编写的论坛,而且它(显然)包括用户帐户。像这样的网站有哪些好的安全实践?

4

3 回答 3

1

这也是一个很好的 railscast 检查:

http://railscasts.com/episodes/178-seven-security-tips/

帮助我建立我的网站。

于 2012-07-24T21:43:58.063 回答
1

以下是您应该考虑的简短摘要:

  • 关于对服务器的攻击

    • 只要您使用带参数的标准活动查询函数,rails 就可以防止SQL 注入。一切都在这里描述
    • 正如最近提醒的那样,Mass Assignement 漏洞鲜为人知,但在 Rails 中非常重要。批量分配允许从散列创建或更新对象(Foobar.new(params[:foobar]或 *Foobar.update_attributes(params[:foobar]*)。在这种情况下,用户将能够修改任何授权为质量的值-assignment. 最佳实践包括默认禁用批量分配(使用最后一个 rails 版本完成)并且不授权敏感参数的批量分配(管理员权限...)

  • 关于对客户端的攻击

    • 针对XSS,在显示用户设置的参数时始终编码(使用 h 函数)。注意不要使用单引号作为分隔符,因为它们不是由 rails 编码的。
    • 针对CSRF,始终使用Rails 中实现的CSRF 令牌

你可以在这里找到有用的资源:

于 2012-08-06T15:42:24.710 回答
1

这是最好的起点之一。http://guides.rubyonrails.org/security.html

于 2012-07-24T19:34:56.297 回答