May 09 2006
Protection contre les requêtes HTML GET
Pour eviter que des requêtes GET mettent en peril vos données sous rails une methode bien pratique consiste en l’usage des requêtes POST (donc depuis un formulaire) pour effectuer les opérations critiques sur vos enregistrement et interdire les opérations GET:
verify :method => :post, :only => [ :destroy, :create, :update ], :redirect_to => { :action => :list }Cette methode placée dans votre controlleur empêche l’accès par requête GET. Pour être parfaitement protégé il est bien d’utiliser aussi la methode “button_to” qui créé un mini formulaire pour creer vos requêtes POST.
<%= button_to "Suppression", {:action => 'destroy', :id => @item},:confirm => "Suppression ?" %>La page originale sur le Blog du créateur de Rails
comments : 0 Add comment
