[Ror-es] Seguridad
Xavier Noria
fxn at hashref.com
Mon Sep 11 20:55:39 GMT 2006
On Sep 11, 2006, at 9:58 PM, Esteban wrote:
> He estado pensado en esquemas para aumentar la seguridad de mi RoR
> app.
> A ver que les parece esta: Meter en cada formulario un campo escondido
> (hidden field) con el valor de la session del usuario --este se puede
> leer en el controlador con un before_filter-- para imposibilitar
> que el
> formulario fuese editado y enviado manualmente
Que tipo de seguridad estas buscando? Por que te parece inseguro que
se pueda editar un formulario (supongo que te refieres a campos no
editables) o que se envie programaticamente?
Lo de la sesion con sirve porque un crawler la mantiene, y si editas
el formulario con las web developer tools de Firefox pasa lo mismo.
Una posible solucion es "hashear" lo que quieras controlar en un
campo oculto.
De todos modos en el controlador siempre hay que programar sin asumir
que los datos vienen como uno cree en condiciones normales, por
robustez.
More information about the Ror-es
mailing list