我有 2 或 3 个实例想要在我的 Rails 应用程序中加密页面:
- 创建用户和密码(可能还有登录)
- 信用卡订阅页面
用户创建部分是绝对有必要加密的,为了密码。信用卡页面实际上只是从“感觉良好”的角度来看转换所必需的。由于我们使用 Stripe
,因此他们的 JS API 仅通过 SSL 提供服务,并且该流量始终是加密的。所以我们永远不会得到那些信用卡。但我仍然需要给用户良好的感觉。
到目前为止,我从文档中收集到的是,我需要在适当的 Controller 中使用 force_ssl
方法。我可以像使用 before_filter 一样使用 :except
或 :only
。
我知道我需要使用 :new
操作,但我是否还需要指定 :create
?
这是我的开头:
force_ssl unless Rails.env.development?, only: [:new, :create]
最佳答案
您应该为 :create
操作使用 force_ssl
,这将加密发布到您的 Controller 操作的所有参数。
如果你真的想让用户有安全感,你也应该对登录过程进行加密,并对登录用户的所有页面进行加密。
关于ruby-on-rails - 在信用卡和登录用例的 Rails 4 应用程序中,我应该配置 SSL 以针对哪些操作运行?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22051534/