设计允许用户电子邮件查找。
这是一个特定的隐私问题。问题是,如果您要求新的确认电子邮件,您可以输入您想要的任何电子邮件地址,如果在数据库中找不到它,您会得到“未找到”,因此任何人都可以检查某个电子邮件是否已注册。
有什么好的方法可以解决这个问题?我还没有将此发布到设计组,但我不确定这是否是“通缉”行为。
违规路线:/users/confirmation
我不能选择禁用设计的确认模块。任何人都有一个很好的解决方法来解决这个问题?
最佳答案
Devise 有一个偏执模式,可以帮助您避免用户枚举。您可以在 Devise wiki 上获得更多信息:
https://github.com/plataformatec/devise/wiki/How-To:-Using-paranoid-mode,-avoid-user-enumeration-on-registerable
关于ruby-on-rails - devise 允许任何人通过其电子邮件地址查找用户!如何防止这种情况?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11221953/