隐藏敏感参数值的方法及实现原理

于 2023-09-18 19:14:34 发布
阅读量175 收藏
点赞数
文章标签: ruby on rails
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/noob_cherry/article/details/132992692
版权 
  Parameters: {"user"=>{"name"=>"susan", "password_confirmation"=>"[FILTERED]", "password"=>"[FILTERED]"}, "commit"=>"Register", "action"=>"create", "authenticity_token"=>"9efc03bcc37191d8a6dc3676e2e7890ecdfda0b5", "controller"=>"users"}

在应用程序的日志中,通常会记录请求的参数,以便开发人员进行调试和排查问题。然而,在某些情况下,这些参数中可能包含了敏感信息,如用户密码等,我们不希望这些敏感信息被明文记录在日志中。幸运的是,Rails 提供了一种简单的方法来隐藏这些敏感参数值,使其显示为[FILTERED],以增加安全性。

首先,让我们看一下如何配置 Rails 来隐藏敏感参数值。在 Rails 中,你可以在控制器中使用filter_parameter_logging方法或者在初始化文件中使用Rails.application.config.filter_parameters来指定需要隐藏的参数。以下是两种常见的配置方式:

1. 在控制器中配置:

class UsersController < ApplicationController
  before_action :filter_sensitive_parameters, only: [:create]

  def create
    # ...
  end

  private

  def filter_sensitive_parameters
    filter_parameter_logging :password, :password_confirmation
  end
end

在上面的示例中,我们在UsersController中使用before_action来调用filter_sensitive_parameters方法,该方法使用filter_parameter_logging来指定需要隐藏的参数。

2. 在初始化文件中配置:

# config/application.rb

Rails.application.config.filter_parameters += [:password, :password_confirmation]

这种方式会全局应用于整个应用程序,无需在每个控制器中单独配置。

接下来,让我们深入了解 Rails 是如何实现参数值隐藏的。

Rails 使用了一个名为ActiveSupport::ParameterFilter的模块来处理参数值的隐藏。这个模块定义了一个filter_param方法,该方法接收参数的名称和值,然后返回隐藏后的值。

module ActiveSupport
  module ParameterFilter
    extend self

    def filter_param(key, value)
      # 判断参数是否需要被隐藏
      if parameter_filtered?(key)
        "[FILTERED]"
      else
        value
      end
    end

    def parameter_filtered?(key)
      # 检查参数是否包含在配置中
      Rails.application.config.filter_parameters.include?(key.to_sym)
    end
  end
end

在上面的代码中,filter_param方法首先检查参数是否包含在配置中。如果参数需要被隐藏,它会返回"[FILTERED]",否则返回原始值。parameter_filtered?方法用于检查参数是否需要被隐藏。

当请求到达控制器时,Rails 会自动调用filter_param方法,将参数的名称和值传递给它,然后将隐藏后的值记录在日志中。

总结一下,隐藏敏感参数值的方法及实现原理如下:

  1. 在 Rails 中,可以通过控制器中的filter_parameter_logging方法或全局配置Rails.application.config.filter_parameters来指定需要隐藏的参数。

  2. 参数值的隐藏是通过ActiveSupport::ParameterFilter模块来实现的,该模块定义了filter_param方法,根据配置决定是否隐藏参数值。

  3. 当请求到达控制器时,Rails 会自动调用filter_param方法,将参数的名称和值传递给它,然后将隐藏后的值记录在日志中,以增加应用程序的安全性。

小毒物儿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ghidearg:允许Go程序在Linux下从ps(进程列表)隐藏敏感参数
05-15
9. **调试与测试**:进行代码调试和单元测试,确保隐藏敏感参数的功能有效且不会引发其他问题。 综上所述,`ghidearg`项目是一个结合了Go语言编程、Linux进程管理和安全性的实践案例。开发者可以通过学习和使用这个...
oracle 常用隐藏参数_oracle 查看隐藏参数
weixin_31179927的博客
01-28 1063
1、查看所有隐藏参数select i.ksppinm name,i.ksppdesc description,cv.ksppstvl value,cv.ksppstdf isdefault,decode(bitand(cv.ksppstvf,7),1,'modified',4,'system_mod','false') ismodified,2),2,'true','false') isadjus...
隐藏URL中的参数
热门推荐
Jim~LoveQ的博客
06-21 1万+
最近有个项目进入到收尾阶段,有个需求是不能在URL中显示参数,这个实现起来也不算复杂,有以下方法 如果是Spring的项目,springMVC的配置文件中注解开关中配置"ignoreDefaultModelOnRedirect"变量为true就可以实现,配置:<mvc:annotation-driven ignoreDefaultModelOnRedirect="true"/>。此方...
让oracle show parameter显示隐藏参数
weixin_42161670的博客
06-18 1440
核心SQL execute trace SQL> show parameter sql_trace SQL> show user SQL> alter session set sql_trace = true; SQL> oradebug setmypid SQL> oradebug tracefile_name SQL> show parameter co...
spring boot和swagger中隐藏请求参数
a1091662876的博客
08-24 9351
spring boot和swagger中隐藏请求参数 低版本的swagger不支持,高版本的swagger(目前已知2.6.0及以上版本支持) 则可使用hidden = true隐藏参数 import io.swagger.annotations.ApiModelProperty; @ApiModelProperty(value = "部门编码#<非空>",...
用Asp隐藏文件路径,实现防盗链 的代码
10-30
以下是如何使用Asp来实现这一目标的详细步骤和原理: 1. **隐藏文件路径**: 当用户请求一个文件,如`http://www.xx.com/down.asp?FileName=51windows.pdf`,Asp脚本会处理这个请求而不是直接返回静态文件的路径。...
Ajax工作原理及优缺点实例解析
10-14
早期的Ajax实现依赖于隐藏的IFrame元素,但现代浏览器已经原生支持XMLHttpRequest对象,使得异步通信变得更加便捷。 **Ajax的工作原理** 1. **创建XMLHttpRequest对象**:这是Ajax的核心组件。在支持...
BP网络算法原理及其代码实现.zip(内附数据)
09-17
5. **模型解释**:分析权重和激活值,了解模型对不同特征的敏感程度,帮助理解预测结果。 通过理解并实践BP网络算法,初学者可以深入理解深度学习的基础,并能应用于实际问题,如乳腺癌数据的预测。在实际应用中,...
iOS安全之敏感逻辑的保护方案【把函数名隐藏在结构体里,以函数指针成员的形式存储】案例:js根据key从本地方法获取设备及签名信息 (完整demo)
04-19
2、原理:为了提高代码的安全性,可以采用把把函数名隐藏在结构体里,以函数指针成员的形式存储。 编译后,只留了下地址,去掉了名字和参数表,提高了逆向成本和攻击门槛. 3、应用场景:签名函数
隐藏参数概览
11-07 992
大家都知道,Oracle数据库存在很多隐藏参数.这些参数在特定情况下使用,会收到特别的效果:*启动/关闭指定特性,如_addm_auto_enable*启动/关闭特定跟踪,如_trace_pin_time*修改缺省参数数值,如_...
ASP.NET中如何隐藏Get请求中的参数(APPScan中“SSL请求中的查询参数“ 的解决方法)
学者-微风
06-03 1181
APPScan中:SSL请求中的查询参数 应公司项目要求,把原本用get传递的参数隐藏,也就是在请求的URL中不显示出各个参数,防止暴露出字段名称 private static string _searchEmailAddress; //全局变量 使用static [HttpGet] [UserAuthorizeAttribute] public ActionResult Indexx(string searchEmailAddress, int page = 1, int pageSize = Co
Oracle 隐藏参数 (hidden parameters)
喝醉酒的小白
11-30 3611
隐藏参数 (hidden parameters) ,由oracle内部使用,以 ‘_’ 开头。 cat > hidden_param.sql set line 999 col ksppinm format a50 col ksppstvl format a50 col ksppdesc format a50 SELECT ksppinm, ksppstvl, ksppdesc FROM x$ksppi x, x$ksppcv y WHERE x.indx = y.indx AND ksppin
全面解析$.Ajax()方法参数(推荐)
小白白的博客
11-29 493
先给大家介绍下Ajax概念 AJAX即“Asynchronous Javascript And XML”(异步JavaScript和XML),是指一种创建交互式网页应用的网页开发技术。 AJAX = 异步 JavaScript和XML(标准通用标记语言的子集)。 AJAX 是一种用于创建快速动态网页的技术。 通过在后台与服务器进行少量数据交换,AJAX 可以使网页实现异步更新。这意味着可以
获取窗口宽度 及高度
fly_binbin的专栏
07-14 863
<br /><br />function findDimensions() { //获取窗口宽度   <br /> <br />    var winHeight = 0; <br />    if (window.innerWidth)<br />        winWidth = window.innerWidth;<br />    else if ((document.body) && (document.body.clientWidth))<br />        winWidth = doc
Web编程安全.pptx
10-06
Web编程是一种流行的软件编程方法,也是B/S模式的一种实现方式。由于Web编程与传统的C/S程序有很大的不同,因此Web编程中存在许多特殊的安全问题。本文主要讨论了Web编程中一些常见的安全问题。 首先,我们介绍了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值