난 3 개의 w/cancan 레일에 글을 쓰고있다. 컨트롤러에 대한 게시 작업을 승인하는 것이 보안상의 관점에서 필요하거나 도움이되는지 궁금합니다. 모든 컨트롤러 동작이 인증이 필요하다고 가정합니다 (예 : 사용자가 로그인해야 함).게시 작업에 레일 인증이 필요합니까?
나는 사용자가 간단하게 입력 그들이 원하는 URL이 자유롭게 방문 할 수 있으며,이 잠겨해야하기 때문에의를 GET 사용 내 컨트롤러 액션에 캉캉를 통해 인증이 필요 왜 볼 수 있습니다. 그러나 게시물의 경우 사용자는 토큰으로 xss 공격으로부터 보호되는 양식의 데이터를 게시해야합니다. 이 경우
은 내가 캉캉 내보기에 말의 가시성, 버튼을 제한하는 경우 사용자가 악의적으로 양식을 제출하지 못할 것이라고 가정하는 것이 안전 할 것인가? 빠른 응답들에 대한감사 :
덕분에
편집을 많이. 아래에 지적했듯이 악의적 인 사용자는 방화범 같은 도구를 사용하여 양식 게시를 위조 할 수 있으므로 권한이 필요합니다.
은 무엇 카피 바라/오이를 사용하여 (그들이 해킹 한 형태를 가진 URL로 게시하는 사용자)의 상호 작용의 유형을 시뮬레이션하는 가장 좋은 방법이 있을까요?
다시 한번 감사드립니다.