问题标签 [rackattack]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
ruby-on-rails - Rails 机架攻击 gem 油门
我不知道为什么我不能使用 rack-attack gem 这里我做了什么
宝石文件
我已经安装了宝石
配置/应用程序.rb
初始化程序/机架攻击.rb
路线.rb
我正在使用 Rails 4.2.3 和 rack-attack gem 4.3.0
我想知道我想念什么
ruby-on-rails - rack-attack 不会将任何 ip 列入黑名单
这是我第一次与rack-attack交互,所以请随时指出我在代码中可能存在的任何错误。我正在尝试将那些ip试图访问路由的人列入黑名单,"/azenv.php", "/setup.php" etc..因为这些人不断地使用一些随机.phpurl 并可能试图关闭服务器,我认为开始阻止它们可能是一个好主意,但显然机架-攻击不会阻止任何ip尝试访问上述 url 的行为。
我试图运行的代码块是:
很少有块来自他们的 wiki 本身。如果这里有任何问题,请更正。
更新
这是我在给定示例中尝试的一段代码:
ruby-on-rails - rails 从机架渲染 html
我正在使用机架攻击。如果有人超出限制,我将使用以下代码:
当 sby 超过 POST 请求的限制时,原始响应将是正常工作respond_to :html的呈现429.html。当响应的 POST 请求超出限制respond_to :js时,屏幕上不会发生任何事情,但是如果我查看日志,一切似乎都很好:
我怎样才能显示的429.html情况下js response?是否有可能以error messages某种方式从这个机架代码传递到 rails 应用程序?如果不是那么复杂,我可能会更改为error messagesfrom 。rendering
ruby-on-rails - 同步机架请求和响应
在我的 rails 4 应用程序中,我想同时回复htmlforhtml和jsrequest。在请求html输入的那一刻,渲染工作正常,但是当请求时js,html文件不会在屏幕上渲染(尽管在命令行中它说它已经渲染)。
限制请求有不同的场景,因此节流代码也可以由html POST请求触发js POST。
这是我要渲染的内容。如您所见,这是html响应。
我应该怎么办?
更新
这是我的最新版本,但不知道如何检查请求内容类型:
ruby-on-rails - rack-attack 在黑名单页面上配置文本
我使用机架攻击来阻止 IP。
IP 被成功阻止。此人可以查看左上角带有“禁止”字样的白页。有什么办法可以改变字符串 "forbidden" 吗?
编辑 :
试过用这个。我所有的其他错误页面也都是类似的配置。 https://mattbrictson.com/dynamic-rails-error-pages 但它在机架攻击 403 禁止页面上不起作用。
ruby-on-rails - rails 机架式油门是如何工作的?
假设我有这样的油门:
如果有人在被限制后继续尝试访问该链接会发生什么?他们会再被封锁 24 小时吗?还是 gem 只会查看他们最近的 5 个请求?他们什么时候变得不受约束?
ruby-on-rails - 无效的请求参数:将文件上传到仅 Rails api 服务器时的 %-encoding 无效
我正在开发Reactjs用作前端和Rails5 api only应用程序作为后端的Web 应用程序
这是我发送到服务器的数据Request payload
这是我的控制器
因此,当我尝试将图像上传到 Rails 服务器时,出现此错误
** 我使用 Rack::CorsandRack::Attack作为我的中间件
我怎样才能解决这个问题?
谢谢!
ruby-on-rails - 使用 Rack::Attack 防止快速登录尝试
我们一直在阅读基于表单的网站身份验证的权威指南,目的是防止快速登录尝试。
这方面的一个例子可能是:
- 1 次尝试失败 = 无延迟
- 2 次失败尝试 = 2 秒延迟
- 3 次失败尝试 = 4 秒延迟
- ETC
其他方法出现在指南中,但它们都需要能够记录以前失败尝试的存储。
在本期的一篇文章中讨论了阻止列表(出现在文档中更改为阻止列表的旧名称黑名单下)作为一种可能的解决方案。
具体而言,根据 Rack::Attack,一个简单的实现示例可能是:
登录失败的地方:
在 rack-attack.rb 中:
这里有两部分,如果它被列入黑名单,则返回响应,并检查是否发生了先前的失败尝试(StorageMechanism)。
第一部分,返回响应,可以由 gem 自动处理。但是,我认为第二部分不是很清楚,至少对于 gem 和 Rails 世界的缓存后端 Redis 来说是事实选择。
据我所知,Redis 中过期的键会被自动删除。这将无法访问信息(即使已过期),为计数器设置一个新值并相应地增加不应期的超时。
有没有办法通过 Redis 和 Rack::Attack 实现这一点?
我在想,在这种情况下,“StorageMechanism”可能必须保持绝对不可知论,并且对 Rack::Attack 及其存储选择一无所知。
gitlab - Gitlab“禁止”错误
我正在运行 GitLab - 版本:10.0.3 并遇到了 Forbidden 错误,Gitlab 正在禁止我们自己的办公室 IP。我已经在 gitlab_rails['rack_attack_git_basic_auth'] section in gitlab.rb文件中添加了我们的办公室 IP,并且还重新启动了 gitlab gitlab-ctl restart,但仍然没有运气。请帮忙解决。
GitLab information
Version: 10.0.3
谢谢
ruby-on-rails - 机架攻击阻止列表不起作用
我正在使用 gemrack-attack以及geoiprails 5 中的 gem。一切都设置好了,但由于某种原因,我无法让阻止列表来阻止国家代码。我已经设置了一个闪光警报,以确保正在传递正确的国家代码,并且它是(“CA”)。“CA”也在阻止列表中,但我的应用程序并没有阻止我访问该网站。
我哪里错了?