我有以下路线:
resources :widgets do resources :orders end
所以请求,例如to / widgets / 1 / orders / new转到OrderController,它可以访问params [:widget_id]以了解正在购买的小部件.
问题是:我在OrderController中使用force_ssl.这导致请求:
http://www.example.com/widgets/1/orders/new
被重定向(302)到:
https://www.example.com/
换句话说,force_ssl正在执行其工作(重定向到URL的https协议版本),但正在销毁流程中路由的动态段指定的参数.我怎样才能防止这种情况发生(更可取)或以最不具攻击性的方式解决这个问题?
请注意,这是在Heroku上托管的,例如Apache重定向对我不起作用.
解决方法
我相信force_ssl的默认行为是将参数从非安全连接传递到安全连接.如果这不是您想要的行为,您可以尝试通过添加如下的初始化程序来覆盖force_ssl函数:
# # Pass parameters in SSL redirects # module ActionController module ForceSSL module ClassMethods def force_ssl(options = {}) host = options.delete(:host) before_filter(options) do if !request.ssl? && !Rails.env.development? secure_params = request.params.clone [:only,:except,:protocol,:status,:host].each {|s| secure_params.delete(s)} redirect_options = {:protocol => 'https://',:status => :moved_permanently} redirect_options.merge!(:host => host) if host redirect_to redirect_options.merge(secure_params) end end end end end end
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
