12 säkerhetskontroller som ska utföras innan du släpper en RailsApp

När du laddar upp din senaste app till en produktionswebbserver och öppnar den för världen, kastar du verkligen din app till elementen – bra och dåliga.

Om du inte uppmärksammar säkerheten överhuvudtaget, kommer du sannolikt att bli spammad av någon smällares elak plan och dina användare kommer att klaga när något inte fungerar eller de spammas av nigerianska clowner med krukor med guld till dela med sig. Men vad ska man göra?

12 Säkerhetskontroller som ska utföras innan du släpper en RailsApp

1. Lita inte på inloggade användare. (Autentisering är en sak, behörighet att utföra vissa uppgifter är en annan.)
2. Akta dig för massuppdrag. (Använd attr_accessible i dina modeller!)
3. Gör vissa attribut oredigerbara med attr_readonly.
4. Se upp för SQL-injektionsvektorer. (Rå SQL i din kod är en lukt värd att undersöka.)
5. Förhindra att körbara filer laddas upp.
6. Filtrera känsliga parametrar från loggarna.
7. Akta dig för CSRF (Cross-Site Request Forgery) och använd protect_from_forgery och csrf_meta_tag.
8. Akta dig för XSS (Cross-Site Scripting) och använd h-hjälparen i vyer (detta är standard i Rails 3, som tur är).
9. Se upp för sessionskapningar.
10. Undvik att använda omdirigeringar till webbadresser som användaren tillhandahåller.
11. Undvik att använda användarparametrar eller innehåll i metoden send_file.
12. Gör metoder som inte är ActionController privata.