attr_accessible의 보안 위협에 대해 많은 이야기가 있습니다. 여기에 문제가 있습니다.attr_accessible에 대한 문제와 설명이 필요합니다
attr_accessible :body,:sender_id,:recipient_id
내가 내 messages_controller
에 update
또는 edit
조치를하지 않아도 : 나는 다음이있는 Message
모델을 가지고있다. new
및 create
작업을 통해 새 메시지를 만들고이를받는 사람에게 보낼 수 있습니다. 로그인하고 특정 조건을 충족하는 사용자 만이 서로 메시지를 보낼 수 있습니다. 나는 before_filter
의 도움으로 그 일을하며 조건은 잘 작동합니다. 메시지는 저장되며 sender
및 recipient
으로 볼 수 있습니다. 완전한!
내가 가진 질문은 :body,:sender_id,:recipient_id
이 attr_accessible
에 포함되어 있기 때문에 악의있는 사용자가 어떻게 든 원래 메시지의 :body,:sender_id,:recipient_id
을 바꿀 수 있습니까? 이 속성을 attr_readonly
에도 추가하면 저장된 후에 수정할 수 없습니까?
이 질문은 나를 실제로 괴롭 히고있다.
sender.id == current_user.id. 그것이 내가 현재 가지고있는 방법입니다. 이것에도 불구하고 위협이 있습니까? – pratski
왜 sender_id를리스트에 넣을까요? 대량 할당이 허용 된 필드가 아니어야합니다. – aromero