When you upload your latest App to a production Web server and open it up to the world, you’re really throwing your app to the elements – good and bad.
If you don’t pay any attention to security whatsoever, you’re likely to be spammed by some cracker’s nefarious scheme and your users will be complaining when something doesn’t work or they’re being spammed by Nigerian clowns with pots of gold to share. But what to do?
12 Sicherheitsüberprüfungen, die vor der Veröffentlichung einer RailsApp durchgeführt werden müssen
- Don’t trust logged in users. (Authentication is one thing, authorization to perform certain tasks is another.)
- Hüten Sie sich vor Massenaufträgen. (Verwenden Sie attr_accessible in Ihren Modellen!)
- Machen Sie einige Attribute mit attr_readonly nicht bearbeitbar.
- Achten Sie auf SQL-Injection-Vektoren. (Raw SQL in Ihrem Code ist ein Geruch, der es wert ist, untersucht zu werden.)
- Verhindern Sie das Hochladen ausführbarer Dateien.
- Filtern Sie sensible Parameter aus den Protokollen.
- Hüten Sie sich vor CSRF (Cross-Site Request Forgery) und verwenden Sie „protect_from_forgery“ und „csrf_meta_tag“.
- Hüten Sie sich vor XSS (Cross-Site Scripting) und verwenden Sie den h-Helfer in Ansichten (dies ist glücklicherweise die Standardeinstellung in Rails 3).
- Achten Sie auf Session-Hijacks.
- Vermeiden Sie Weiterleitungen zu vom Benutzer bereitgestellten URLs.
- Vermeiden Sie die Verwendung von Benutzerparametern oder Inhalten in der send_file-Methode.
- Machen Sie Nicht-ActionController-Methoden privat.
Abonnieren Sie die neuesten Updates
zusammenhängende Posts
Über den Autor des Beitrags
