问题标签 [rackattack]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
2 回答
1471 浏览

ruby-on-rails - Rails 机架攻击 gem 油门

我不知道为什么我不能使用 rack-attack gem 这里我做了什么

宝石文件

我已经安装了宝石

配置/应用程序.rb

初始化程序/机架攻击.rb

路线.rb

我正在使用 Rails 4.2.3 和 rack-attack gem 4.3.0

我想知道我想念什么

0 投票
2 回答
1582 浏览

ruby-on-rails - rack-attack 不会将任何 ip 列入黑名单

这是我第一次与rack-attack交互,所以请随时指出我在代码中可能存在的任何错误。我正在尝试将那些ip试图访问路由的人列入黑名单,"/azenv.php", "/setup.php" etc..因为这些人不断地使用一些随机.phpurl 并可能试图关闭服务器,我认为开始阻止它们可能是一个好主意,但显然机架-攻击不会阻止任何ip尝试访问上述 url 的行为。

我试图运行的代码块是:

很少有块来自他们的 wiki 本身。如果这里有任何问题,请更正。

更新

这是我在给定示例中尝试的一段代码:

0 投票
1 回答
1399 浏览

ruby-on-rails - rails 从机架渲染 html

我正在使用机架攻击。如果有人超出限制,我将使用以下代码:

当 sby 超过 POST 请求的限制时,原始响应将是正常工作respond_to :html的呈现429.html。当响应的 POST 请求超出限制respond_to :js时,屏幕上不会发生任何事情,但是如果我查看日志,一切似乎都很好:

我怎样才能显示的429.html情况下js response?是否有可能以error messages某种方式从这个机架代码传递到 rails 应用程序?如果不是那么复杂,我可能会更改为error messagesfrom 。rendering

0 投票
1 回答
1303 浏览

ruby-on-rails - 同步机架请求和响应

在我的 rails 4 应用程序中,我想同时回复htmlforhtmljsrequest。在请求html输入的那一刻,渲染工作正常,但是当请求时js,html文件不会在屏幕上渲染(尽管在命令行中它说它已经渲染)。

限制请求有不同的场景,因此节流代码也可以由html POST请求触发js POST

这是我要渲染的内容。如您所见,这是html响应。

我应该怎么办?

更新

这是我的最新版本,但不知道如何检查请求内容类型:

文档: https ://github.com/kickstarter/rack-attack

0 投票
2 回答
903 浏览

ruby-on-rails - rack-attack 在黑名单页面上配置文本

我使用机架攻击来阻止 IP。

IP 被成功阻止。此人可以查看左上角带有“禁止”字样的白页。有什么办法可以改变字符串 "forbidden" 吗?

编辑 :

试过用这个。我所有的其他错误页面也都是类似的配置。 https://mattbrictson.com/dynamic-rails-error-pages 但它在机架攻击 403 禁止页面上不起作用。

0 投票
1 回答
907 浏览

ruby-on-rails - rails 机架式油门是如何工作的?

假设我有这样的油门:

如果有人在被限制后继续尝试访问该链接会发生什么?他们会再被封锁 24 小时吗?还是 gem 只会查看他们最近的 5 个请求?他们什么时候变得不受约束?

0 投票
1 回答
1832 浏览

ruby-on-rails - 无效的请求参数:将文件上传到仅 Rails api 服务器时的 %-encoding 无效

我正在开发Reactjs用作前端和Rails5 api only应用程序作为后端的Web 应用程序

这是我发送到服务器的数据Request payload

这是我的控制器

因此,当我尝试将图像上传到 Rails 服务器时,出现此错误

** 我使用 Rack::CorsandRack::Attack作为我的中间件

我怎样才能解决这个问题?

谢谢!

0 投票
1 回答
1719 浏览

ruby-on-rails - 使用 Rack::Attack 防止快速登录尝试

我们一直在阅读基于表单的网站身份验证的权威指南,目的是防止快速登录尝试。

这方面的一个例子可能是:

  • 1 次尝试失败 = 无延迟
  • 2 次失败尝试 = 2 秒延迟
  • 3 次失败尝试 = 4 秒延迟
  • ETC

其他方法出现在指南中,但它们都需要能够记录以前失败尝试的存储。

在本期的一篇文章中讨论了阻止列表(出现在文档中更改为阻止列表的旧名称黑名单下)作为一种可能的解决方案。

具体而言,根据 Rack::Attack,一个简单的实现示例可能是:

登录失败的地方:

在 rack-attack.rb 中:

这里有两部分,如果它被列入黑名单,则返回响应,并检查是否发生了先前的失败尝试(StorageMechanism)。

第一部分,返回响应,可以由 gem 自动处理。但是,我认为第二部分不是很清楚,至少对于 gem 和 Rails 世界的缓存后端 Redis 来说是事实选择。

据我所知,Redis 中过期的键会被自动删除。这将无法访问信息(即使已过期),为计数器设置一个新值并相应地增加不应期的超时。

有没有办法通过 Redis 和 Rack::Attack 实现这一点?

我在想,在这种情况下,“StorageMechanism”可能必须保持绝对不可知论,并且对 Rack::Attack 及其存储选择一无所知。

0 投票
1 回答
936 浏览

gitlab - Gitlab“禁止”错误

我正在运行 GitLab - 版本:10.0.3 并遇到了 Forbidden 错误,Gitlab 正在禁止我们自己的办公室 IP。我已经在 gitlab_rails['rack_attack_git_basic_auth'] section in gitlab.rb文件中添加了我们的办公室 IP,并且还重新启动了 gitlab gitlab-ctl restart,但仍然没有运气。请帮忙解决。

GitLab information Version: 10.0.3

谢谢

0 投票
1 回答
896 浏览

ruby-on-rails - 机架攻击阻止列表不起作用

我正在使用 gemrack-attack以及geoiprails 5 中的 gem。一切都设置好了,但由于某种原因,我无法让阻止列表来阻止国家代码。我已经设置了一个闪光警报,以确保正在传递正确的国家代码,并且它是(“CA”)。“CA”也在阻止列表中,但我的应用程序并没有阻止我访问该网站。

我哪里错了?