RailsApp をリリースする前に実行すべき 12 のセキュリティ チェック

最新のアプリを実稼働 Web サーバーにアップロードして世界に公開すると、アプリを実際に良い面も悪い面も含めてあらゆる要素にさらすことになります。

セキュリティにまったく注意を払わないと、クラッカーの邪悪な計画によってスパムが送信される可能性が高く、ユーザーは何かがうまくいかないときに苦情を言ったり、ナイジェリアのピエロから金の入った壺をスパム送信されたりすることになるでしょう。共有。でもどうすればいいでしょうか？

RailsAppをリリースする前に実行すべき12のセキュリティチェック

1. ログインしているユーザーを信頼しないでください。 (認証と、特定のタスクを実行する権限は別のものです。)
2. 大量の割り当てには注意してください。 (モデルで attr_accessible を使用してください!)
3. attr_readonly を使用して一部の属性を編集不可にします。
4. SQL インジェクションベクトルに注意してください。 (コード内の生の SQL は調査する価値のある臭いです。)
5. 実行可能ファイルがアップロードされないようにします。
6. ログから機密パラメータをフィルタリングします。
7. CSRF (クロスサイト リクエスト フォージェリ) に注意し、protect_from_forgery と csrf_meta_tag を使用してください。
8. XSS (クロスサイト スクリプティング) に注意し、ビューで h ヘルパーを使用してください (幸いなことに、これは Rails 3 のデフォルトです)。
9. セッションハイジャックに注意してください。
10. ユーザーが指定した URL へのリダイレクトは使用しないでください。
11. send_file メソッドでユーザー パラメーターやコンテンツを使用しないでください。
12. ActionController 以外のメソッドをプライベートにします。