0
permitのレールのドキュメントには、「大量更新に許可する属性を制限するのに便利です」と記載されていますRails - 質量割り当て外のparams.permit()のユーティリティ?
他にユーティリティはありますか?セキュリティを教えてください。
A
答えて
2
セキュリティ上の理由から、.permitの全体のポイント。 Rails 3.0では、Railsはパラメータの一括割り当てに関してホワイトリストアプローチを使用しています。これは基本的にはすべてのパラメータがデフォルトで許可されておらず、どのパラメータを一括割り当てできるかを手動で許可する必要があるということです。
これは、ハッカーが特定のパラメータを使用できないようにします。つまり、管理者が存在し、ブール値を受け入れるかどうかを確認するadminパラメータがある場合、ハッカーはadmin = trueというパラメータを書き込むだけです。特定のコンポーネントを作成、更新、削除するアプリの能力に潜在的にアクセスすることができます。
これを防ぐための鍵は、強力なパラメータを使用して、一括割り当てするパラメータのみを許可することです。そうすることで、ハッカーが使用したくないパラメータにアクセスできるようにする潜在的な落とし穴を避けることができます。 .requireと組み合わせて.permitでこれを行います。
関連する問題
- 1. Railsの質量の割り当てとBACKBONE.JS
- 2. Railsの質量割り当て定義とattr_accessible use
- 3. Rails 3での質量割り当てとは何か
- 4. Railsでの質量割り当てのためのストライプのパラメータキーの変更
- 5. 子モデル更新時の質量割り当てエラー
- 6. これは質量割り当てに脆弱ですか?
- 7. Laravel質量割り当てフィールドを保存しない
- 8. JVM - 割り当てるRAMの量
- 9. C++メモリ割り当ての質問
- 10. 質問のメモリ割り当て
- 11. メモリ割り当ての質問
- 12. Rails 2.3.18でのパラメータの割り当て
- 13. zlib、deflate:割り当てるメモリ量は?
- 14. 割り当て機能(Railsの)
- 15. Rails link_toクラスとidの割り当て
- 16. 誰かがRails 3.2で厳密な質量割り当てを説明できますか?
- 17. メモリの割り当て時の例外
- 18. OpenShiftサービスの外部IP割り当て
- 19. コンストラクタのメモリ割り当て例外
- 20. EF 6.1.3外部キーの割り当て
- 21. ExecutorServiceのチェックを外す割り当て
- 22. Laravelの自己関係の質量割り当て(モデルを作成する必要がありますか)
- 23. ユーザリソースに特有の役割を割り当てるRails
- 24. 可変用量ワークへのリターンの割り当て
- 25. インターフェイスへのGUIDの割り当てに関する質問
- 26. ネストされたループの質問での可変割り当て
- 27. 共変量の割り当てが機能しない
- 28. Mavenビルドで大量のメモリを使用/割り当てよう
- 29. スタックとヒープへのメモリ割り当て量(c)
- 30. アレイに大量のメモリを割り当てる方法は?
しかし、どのように役立ちますか? adminパラメータを使用していない場合は、とにかくデータベースにどのように入りますか? –
強力なパラメータは、あなたがadminパラメータのようなものを使用しているという仮説的な状況を防ぐことです。強力なパラメータは、必ずしも100%のケースで使用する必要はありませんが、Railsでは、ハッカーが操作できるパラメータを持っている場合に備えて、デフォルトで使用することをお勧めします。 SQLインジェクション、クロスサイトスクリプティングなど、ハッキングされる可能性のある他の多くの方法がありますが、 '.permit'などの強力なパラメータを使用すると、パラメータの使用を操作することでハッキングされることがありません。 – the12