• <ins id="pjuwb"></ins>
    <blockquote id="pjuwb"><pre id="pjuwb"></pre></blockquote>
    <noscript id="pjuwb"></noscript>
          <sup id="pjuwb"><pre id="pjuwb"></pre></sup>
            <dd id="pjuwb"></dd>
            <abbr id="pjuwb"></abbr>

            qiezi的學習園地

            AS/C/C++/D/Java/JS/Python/Ruby

              C++博客 :: 首頁 :: 新隨筆 ::  ::  :: 管理 ::
            一、前言

            出于數據安全性考慮,某些破壞性鏈接應該使用post請求,比如一個刪除記錄的請求。

            除了腳本確認以外,服務端還需要post驗證,因為腳本是可以繞過的。想像你的頁面上有一個刪除鏈接,只作了客戶端腳本確認(老的scaffold生成代碼有這問題),被google找到了,它一個請求就會讓你的數據丟失。

            rails對于這類請求的處理,是通過verify方法,默認的scaffold生成代碼有如下內容:

            ??#?GETs?should?be?safe?(see?http://www.w3.org/2001/tag/doc/whenToUseGet.html)
            ??verify?:method?=>?:post,?:only?=>?[?:destroy,?:create,?:update?],
            ?????????
            :redirect_to?=>?{?:action?=>?:list?}

            只有post請求時,destroy才會被允許,如果是get,就會被重定向到list。

            二、實現

            我自己實現了一個method_dispatch,當請求一個/test/a時,如果是get,則會直接執行TestController#a;如果是post,則會執行TestController#a_post,a_post應該是protected,這樣不會直接暴露給客戶,get/post就嚴格區分開來了。

            method_dispatch現在是直接實現在ApplicationController中的,代碼如下:

            class?ApplicationController?<?ActionController::Base
            ??protected
            ??def?self
            .method_dispatch(*methods)
            ????before_filter?
            :do_method_dispatch,?:only?=>?methods.flatten.map(&:to_sym)
            ??end

            ??private
            ??def?do_method_dispatch
            ????
            if?request.post??&&?respond_to?("#{action_name}_post")
            ??????
            eval("#{action_name}_post")
            ??????
            return?false
            ????end
            ??end
            end

            由于ApplicationController里面的方法會被子類繼承到,所以必須嚴格處理訪問級別。

            使用如下:

            class?TestController?<?ApplicationController
            ??method_dispatch?
            :a

            ??def?
            index
            ??end

            ??def?a
            ????render?
            :text?=>?'get?a'
            ??end
            ??def?b
            ????render?
            :text?=>?'get?b'
            ??end
            ??protected
            ??def?a_post
            ????render?
            :text?=>?'post?a'
            ??end
            ??def?b_post
            ????render?
            :text?=>?'post?b'
            ??end
            end

            注意a_post,b_post要被保護起來防止直接調用。

            index.rhtml里面演示了使用get和post的情況:

            <%=?link_to?"Get?a",?:action?=>?'a'?%>
            <%=?link_to?"Post?a",?{:action?=>?'a'},?{:post?=>?true}?%><br?/>

            <%=?link_to?"Get?b",?:action?=>?'b'?%>
            <%=?link_to?"Post?b",?{:action?=>?'b'},?{:post?=>?true}?%><br?/>

            rails在處理有:post => true參數的link_to時,生成的代碼如下:

            <a?href="/test/a"?onclick="var?f?=?document.createElement('form');
            ?????? this.parentNode.appendChild(f);?f.method?=?'POST';?f.action?=?this.href;?f.submit();return?false;"
            >Post?a</a>

            經測試上面代碼工作情況良好,使用get訪問/test/a時,顯示get a;使用post訪問時,顯示post a。使用get訪問/test/b時,顯示get b;使用post時,顯示get b,因為b并沒有使用method_dispatch。

            三、應用

            下面的posts_controller.rb是scaffold生成的:

            class?PostsController?<?ApplicationController
            ??def?
            index
            ????list
            ????render?
            :action?=>?'list'
            ??end

            ??
            #?GETs?should?be?safe?(see?http://www.w3.org/2001/tag/doc/whenToUseGet.html)
            ??verify?:method?=>?:post,?:only?=>?[?:destroy,?:create,?:update?],
            ?????????
            :redirect_to?=>?{?:action?=>?:list?}

            ??def?list
            ????
            @post_pages,?@posts?=?paginate?:posts,?:per_page?=>?10
            ??end

            ??def?show
            ????
            @post?=?Post.find(params[:id])
            ??end

            ??def?new
            ????
            @post?=?Post.new
            ??end

            ??def?create
            ????
            @post?=?Post.new(params[:post])
            ????
            if?@post.save
            ??????flash[
            :notice]?=?'Post?was?successfully?created.'
            ??????redirect_to?
            :action?=>?'list'
            ????
            else
            ??????render?
            :action?=>?'new'
            ????end
            ??end

            ??def?edit
            ????
            @post?=?Post.find(params[:id])
            ??end

            ??def?update
            ????
            @post?=?Post.find(params[:id])
            ????
            if?@post.update_attributes(params[:post])
            ??????flash[
            :notice]?=?'Post?was?successfully?updated.'
            ??????redirect_to?
            :action?=>?'show',?:id?=>?@post
            ????
            else
            ??????render?
            :action?=>?'edit'
            ????end
            ??end

            ??def?destroy
            ????Post
            .find(params[:id]).destroy
            ????redirect_to?
            :action?=>?'list'
            ??end
            end

            可以看到,它添加了verify,但action過多,需要在verify中維護一份對應方法名,稍不留神就容易出現漏洞。

            我把它修改如下:

            class?PostsController?<?ApplicationController
            ??method_dispatch?
            :new,?:edit,?:destroy

            ??def?
            index
            ????list
            ????render?
            :action?=>?'list'
            ??end

            ??def?list
            ????
            @post_pages,?@posts?=?paginate?:posts,?:per_page?=>?10
            ??end

            ??def?show
            ????
            @post?=?Post.find(params[:id])
            ??end

            ??def?new
            ????
            @post?=?Post.new
            ??end

            ??def?edit
            ????
            @post?=?Post.find(params[:id])
            ??end

            ??def?destroy
            ????render?
            :inline?=>?<<-EOS
            ????? Are you sure?
            ??????
            <%=?link_to?"Yes",?{},?:post?=>?true?%>
            ??????
            <%=?link_to?"No",?:action?=>?'edit', :id => params[:id]%>
            ????EOS
            ??end

            ??protected
            ??def?destroy_post
            ????Post
            .find(params[:id]).destroy
            ????redirect_to?
            :action?=>?'list'
            ??end
            ??def?edit_post
            ????
            @post?=?Post.find(params[:id])
            ????
            if?@post.update_attributes(params[:post])
            ??????flash[
            :notice]?=?'Post?was?successfully?updated.'
            ??????redirect_to?
            :action?=>?'show',?:id?=>?@post
            ????
            else
            ??????render?
            :action?=>?'edit'
            ????end
            ??end
            ??def?new_post
            ????
            @post?=?Post.new(params[:post])
            ????
            if?@post.save
            ??????flash[
            :notice]?=?'Post?was?successfully?created.'
            ??????redirect_to?
            :action?=>?'list'
            ????
            else
            ??????render?
            :action?=>?'new'
            ????end
            ??end
            end

            相應地,還需要把new.rhtml中的action從create修改到new,把edit.rhtml中的action從update修改到edit。

            這樣的修改把必須使用post請求的action隱藏起來,而相應的get操作是不修改或刪除記錄的,如果以post請求,才會自動調用這些保護的方法。
            posted on 2006-09-17 11:13 qiezi 閱讀(770) 評論(3)  編輯 收藏 引用 所屬分類: Ruby
            无码国内精品久久人妻蜜桃| 午夜精品久久久久久影视777| 伊人色综合久久天天人手人婷| 77777亚洲午夜久久多人| 狠狠色丁香婷婷久久综合| 色综合久久久久无码专区| 久久国产精品久久精品国产| 国产日韩久久久精品影院首页| 亚洲国产婷婷香蕉久久久久久| 国产产无码乱码精品久久鸭 | 国产成人综合久久久久久| 久久久中文字幕日本| 久久人人爽人人爽人人AV东京热| 91精品国产91久久久久久蜜臀| 久久婷婷色综合一区二区| 亚洲国产精品久久久久婷婷软件| 亚洲欧美成人久久综合中文网| 精品国产乱码久久久久久1区2区| 久久亚洲精品无码播放| 久久精品国产99国产电影网 | 国产99久久久国产精品~~牛 | 青青青青久久精品国产h久久精品五福影院1421 | 狠狠久久综合伊人不卡| 香蕉久久夜色精品升级完成| 欧美麻豆久久久久久中文| 国内精品久久久久| 波多野结衣中文字幕久久 | 久久综合九色综合久99| 欧美亚洲色综久久精品国产| 一本色综合久久| 久久精品无码一区二区app| 99久久久久| 国产一区二区三精品久久久无广告| 国产精品久久久久国产A级| 久久精品人人做人人爽电影蜜月| 东方aⅴ免费观看久久av| 久久精品久久久久观看99水蜜桃| 四虎影视久久久免费| 亚洲国产成人久久一区WWW| 久久久久亚洲爆乳少妇无 | 精品久久久久久无码不卡|