默认情况下:回形针 gem 将所有附件存储在公共(public)目录中。
出于安全原因,我不想将附件存储在公共(public)目录中,所以我将它们保存在应用程序根目录的 uploads 目录中:
class Post < ActiveRecord::Base
belongs_to :user
has_attached_file :some_image, path: ":rails_root/uploads/:attachment/:id/:style/:filename"
do_not_validate_attachment_file_type :some_image
end
我没有指定 url 选项,因为我不希望每个图像附件都有一个 url。如果指定了 url:那么拥有该 url 的任何人都可以访问该图像。这是不安全的。
在 user#show 页面中:我想实际显示图像。如果我使用所有回形针默认设置,那么我可以这样做,因为图像将在公共(public)目录中并且图像将具有一个 url:
<p>
<strong>Some image:</strong>
<%= image_tag @post.some_image %>
</p>
看来,如果我将图像附件保存在公共(public)目录之外并且不指定 url(同样:这样做是为了保护图像),那么图像将不会在 View 中呈现。
我知道如何通过 pundit 在整个应用程序中授权 gem 。但是,当图像可公开访问时,授权图像是无用的。因此,我试图通过删除 url 并将图像保存在公共(public)目录之外来使图像不可公开访问,但随后图像不再呈现在 View 中。
更新:我的问题实际上可以归结为:我的图像保存在我的 Rails 应用程序中。使用回形针:有什么方法可以在 View 中安全地显示图像?换句话说:使图像没有自己单独的 url(因为拥有该 url 的任何人都可以访问该图像,从而使该图像不安全)。以下是我所说的安全显示图像的一些示例:
- 示例 #1:仅在用户登录时显示图像。(图像没有自己单独的 url,因此没有其他方式访问图像)
- 示例 #2:仅当用户与该图像相关联时才显示该图像。 (图片没有自己单独的url,所以没有其他方法可以访问图片)
其他更新:我知道我可以使用 send_file 安全地发送文件,这允许用户下载图像,但这不是我想要做的这里。我不希望用户下载图像。相反:我希望用户能够真正看到网页上的图像。我想安全地显示/呈现页面上的图像。使用 send_file(据我所知)允许用户下载文件。它不会在页面上呈现图像。
最佳答案
你可以使用 send_file .假设您的 route 有 secure_image 操作:
resources :posts do
member do
get :secure_image
end
end
和相应 Controller 中的以下方法:
def secure_image
send_file Post.find(params[:id]).some_image.path
end
您可以在 View 中使用 protected 图像:
<%= image_tag secure_image_post_path(@post) %>
这里发生了什么:通常 Rails(或 nginx 或 apache)为了速度而直接绕过安全检查发送静态文件。但是对 secure_image 操作的请求会通过整个 Rails 堆栈,因此它受到您的身份验证系统的保护。
关于ruby-on-rails - 安全地显示使用回形针 gem 上传的图像,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34712862/