gpt4 book ai didi

ruby-on-rails - 防止通过 Rails 上的表单发送垃圾链接

转载 作者:行者123 更新时间:2023-12-04 06:34:04 26 4
gpt4 key购买 nike

我们的 rails 应用程序允许未登录的用户向注册用户发送消息,该用户创建一个消息对象,将其存储在我们的数据库中,然后将内容通过电子邮件发送给注册用户。在我们的登台应用程序上,我们已经开始收到大量来自爬取我们网站的机器人的垃圾邮件。我们担心两件事:

  1. 给我们的用户带来的不便
  2. SQL 注入(inject)或我们没有考虑到的任何其他安全漏洞可能在这种情况下发生

有什么好的方法可以解决这个问题?我知道我们可以实现一个验证码系统,但从用户体验的角度来看这并不理想。我们也可以在中国等地(或攻击来源地)阻止 IP,但我们也可能希望为中国用户提供服务。

另外,我相信 rails 具有清理查询字符串和防止 SQL 注入(inject)的内置功能,但这是默认启用的吗?在这种情况下,我们是否应该关注其他事情,以防止默认情况下 rails 无法处理?

有什么建议吗?

最佳答案

您可能希望实现 honeypot在您的表格中。它本质上是表单中的一个空白的隐藏字段,任何用户都不会填写(因为它是隐藏的),但垃圾邮件机器人很可能会填写。请务必相应地标记该字段以方便访问。

Rails 在大多数情况下能够防止 SQL 注入(inject),您可以在 Rails guide on security 中了解更多信息。 .整个指南页面都值得一读。

关于ruby-on-rails - 防止通过 Rails 上的表单发送垃圾链接,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5189410/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com