</div> <div class="actions"> "> </div> <div class="actions"> "> </div> <div class="actions"> " />

Rails защищен скрытым полем и firebug?

Я работаю над веб-приложением, и меня беспокоит тот факт, что пользователи могут использовать firebug для управления кодом.

<%= form_for([@journal, @news]) do |f| %>
  <div class="field">
    <%= f.label :title %>
    <%= f.text_field :title %>
  </div>

  <%= f.hidden_field :journal %>

  <div class="actions">
    <%= f.submit %>
  </div>
<% end %>

<Сильный> routes.rb

resources :journal do 
  resources: news
end

URL-адрес выглядит так: mysite.com/journal/1/news/3. Поскольку идентификатор журнала находится в URL-адресе, как я могу помешать пользователю изменить значение идентификатора журнала 1 на что-то вроде 2 или 3.

<input id="news_journal_id" type="hidden" value="1" name="news[journal_id]">
0
nl ja de

3 ответы

Вы не можете запретить пользователям отправлять вам измененный ввод. Вы можете (и должны) проверять этот вход на сервере, а не слепо принимать его.

Если пользователь не может читать/писать этот журнал, перенаправляйте его на соответствующую страницу и т. Д.

2
добавлено

Вы не можете. НИКОГДА не доверяйте вводу из любого места. Внедрите проверку на стороне сервера/роль-модель/ограничение доступа любого типа.

2
добавлено

Вы должны использовать ассоциации current_user для извлечения любой записи, чтобы сделать ваше приложение безопасным.

Например:

journal = currect_user.journals.find(params[:news][:journal_id])
journal.news.create(params[:news].except(:journal_id))
0
добавлено
pro.ruby
pro.ruby
1 181 участник(ов)

Язык программирования Ruby Additional docs: https://rubyreferences.github.io/rubyref/ Invite: https://telegram.me/joinchat/Be4rsT2NuB3CyJaF26j1kA Кто хочет компилировать: @crystal_ru (его синтаксис основан на Ruby) Участник @proDOT

Ruby, Rails, Hanami | dry-rb
Ruby, Rails, Hanami | dry-rb
1 180 участник(ов)

https://telegram.me/rubyjob - Ruby Job По вопросам - @eugene_shved

Ruby School .us
Ruby School .us
1 045 участник(ов)

Чат-болталка для учеников руби-школы и не только. Правила: https://telegra.ph/Pravila-chata-Rubi-shkoly-03-13

Random Ruby Chat
Random Ruby Chat
589 участник(ов)

Правила публикации вакансий: https://t.me/codenamecrud/60865

Rubyata
Rubyata
333 участник(ов)

Коммюнити Ruby и Ruby On Rails Флуд не приветствуются. Вакансии можно публиковать только и ТОЛЬКО по пятницам с хештегом #вакансия.

Ruby Talks
Ruby Talks
236 участник(ов)

Национальная Флеймотека

RubyRush
RubyRush
189 участник(ов)

rubyrush.ru программирование для самых новичков

Rails Chat
Rails Chat
87 участник(ов)

You are welcome to discuss Ruby On Rails development process and other stuff