爲了使用一些AJAX調用,我們經常使用一些輸入類型=「隱藏」。但是這些值可以很容易地改變。那麼,它是一個內置的rails功能,比發送日期到AJAX,沒有用戶可用,或不能被用戶更改的許可?rails如何以安全的方式將數據提供給ajax?
在我當前的rails應用程序中,我使用過濾器來放棄我的控制器上的所有惡意操作。我沒有構建公共API,所以我並不需要更強大的檢查。
但例如,我有一個apotomo小部件顯示一些數據,使用一些隱藏的輸入。但如果你改變它,你可以訪問另一個數據集。就我而言,這不是一個真正的問題,因爲無論如何,所有這些用戶都有權訪問這些數據集。
但是以某種方式以安全的方式給ajax調用數據?或唯一的安全性,是關於權利管理?
對我來說似乎是對的。謝謝。 – Perello