[ruby on rails]rack-cors, rack-attack

最新推荐文章于 2024-07-11 17:31:36 发布
最新推荐文章于 2024-07-11 17:31:36 发布
阅读量910 收藏 1
点赞数 1
文章标签: ruby on rails 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41037744/article/details/134519179
版权 
gem 'rack-attack'
gem 'rack-cors'

1. rack-attack 可以根据ip、域名等设置黑名单、设置访问频率

  • 设置黑名单
# 新增 config/initializers/rack_attack.rb
# 请求referer如果匹配不上设置的allowed_origins,返回403 forbidden
Rack::Attack.blocklist('block bad domains') do |req|
  next if !req.path.start_with?('/admin_api/') || Rails.env.test?

  Rails.application.credentials.allowed_origins.none? { |r| Regexp.new(r) =~ req.referer }
end

# EDITOR="vim" bin/rails credentials:edit
allowed_origins:
  - api.xxx.net
  - localhost
  • 设置访问频率
class Rack::Attack
  # Rack::Attack.cache.store = ActiveSupport::Cache::RedisCacheStore.new(url: "...")
  Rack::Attack.cache.store = ActiveSupport::Cache::MemoryStore.new
  # key: "rack::attack:#{Time.now.to_i/:period}:public_data/ip:#{req.ip}"
  throttle('public_data/ip', limit: 2, period: 1.minutes) do |req|
    req.ip if req.path.start_with?('/pc/v1/public_data')
  end

  self.throttled_responder = lambda do |_env|
    [429, # status
     {}, # headers
     ['throttling, retry later']] # body
  end
end

2. rack-cors 可以根据域名、访问方法、资源设置跨域请求cors

# config/initializers/cors.rb

Rails.application.config.middleware.insert_before 0, Rack::Cors do
  allow do
    origins '*'
    resource '*', headers: :any, methods: [:get, :post, :put, :patch, :delete, :options, :head],
  end
end
  • 复杂一些
Rails.application.config.middleware.insert_before 0, Rack::Cors do
  allow do
    origins 'localhost:3000', '127.0.0.1:3000',
            /\Ahttp:\/\/192\.168\.0\.\d{1,3}(:\d+)?\z/
            # regular expressions can be used here

    resource '/file/list_all/', :headers => 'x-domain-token'
    resource '/file/at/*',
        methods: [:get, :post, :delete, :put, :patch, :options, :head],
        headers: 'x-domain-token',
        expose: ['Some-Custom-Response-Header'],
        max_age: 600
        # headers to expose
  end

  allow do
    origins '*'
    resource '/public/*', headers: :any, methods: :get

    # Only allow a request for a specific host
    resource '/api/v1/*',
        headers: :any,
        methods: :get,
        if: proc { |env| env['HTTP_HOST'] == 'api.example.com' }
  end
end
微信-since81192
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用Rails制作API
代码教主
06-15 1220
如今,一种常见的做法是严重依赖API(应用程序编程接口)。 不仅像Facebook和Twitter这样的大型服务都采用了它们,而且由于客户端框架(如React,Angular等)的广泛传播,API非常受欢迎。 Ruby on Rails遵循了这一趋势,最新版本提供了一项新功能,使您可以创建仅API的应用程序。 最初,此功能打包在一个名为rails-api的单独的gem中,但是自从Rails...
rest-api-authentication-jwt-ruby:使用RubyRails,PostgreSQL,JWT等开发的软件(REST-API)
05-23
REST API身份验证Rails-JWT...软件Ruby版本管理器RVM 1.29.10-next数据库使用PostgreSQL应用客户休息:邮递员,失眠,Talend API测试仪等外挂程式您可以使用宝石JWT,Carrierwave,Bcrypt,Rack-Cors等用法$ git clone ...
为 RESTful API 配置 CORS 实现跨域请求
z69183787的专栏
11-09 8625
利用 Ruby on Rails 可以很方便地实现 RESTful API,但如果我们需要通过 AJAX 跨域调用的话,怎么办? 说到 AJAX 跨域,很多人最先想到的是 JSONP。的确,JSONP 我们已经十分熟悉,也使用了多年,从本质上讲,JSONP 的原理是给页面注入一个 ,把远程 JavaScript 放在页面上执行。这种做法会带来一个显而易见的问题:如果调用的来源被攻击或篡改
Rails应用使用跨域资源共享Cross-origin resource sharing
ミ安之偌素
09-01 1450
使用原因解决前端APP调用接口时的cors问题,否则在进行跨域调用时会报出406异常例如,使用浏览器模拟手机进行接口调用时,可观察到浏览器console信息如下: create_incident.html#:1 XMLHttpRequest cannot load http://localhost:3000/api/v1/app_versions/last?app_system=IOS. No
Rails Gem开发(四)——rack-cors解决Ajax跨域问题(CORS)
vito0705的博客
12-24 1497
在项目开发过程中,遇到了Ajax跨域访问资源的问题,提示出现了类似于下面这样的错误: Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at http://example.com:8080/script/jquery.js. (Reason: CORS header
rack-cors: 解析并处理跨域资源共享(CORS)请求
gitblog_00006的博客
03-09 394
rack-cors: 解析并处理跨域资源共享(CORS)请求 本文将向您介绍一个名为 rack-corsRuby 框架插件,用于解析并处理跨域资源共享 (CORS) 请求。 什么是 CORS? 跨域资源共享 (Cross-Origin Resource Sharing, CORS) 是一种基于 HTTP 头的机制,允许浏览器从不同源的安全策略中获取资源。在现代 Web 应用程序中,跨域通...
理解 Rack 应用及其中间件
weixin_33847182的博客
06-03 1270
大多数 web 开发者都是基于高度抽象出来的接口基础上编码,很多时候我们知其然但不知其所以然,特别是使用 Rails 框架开发时。 你是否研究过 Rails 内部对请求/响应周期是如何运作的?近期我意识到对于 Rack 和 middlewares 内部机制知之甚少,所以我花了一点时间来研究它。在这篇文章中分享了我的研究成果。 什么是 Rack 你知道 R...
rails跨域访问配置
topswim的博客
02-11 1674
    在百度上搜索“rails跨域访问”会出现很多关于跨域访问的文章,其实大都是摘自Git上rack-cors的readme:    https://github.com/cyu/rack-cors/blob/master/README.md    但是大多摘抄都少了对Access-Control-Allow-Credentials这个头参数的设置,这也就是我踩得坑,所以文档一般还是要看官方的。...
mysql rails_mysql-在Rails中创建表和主键问题
weixin_40006185的博客
01-27 110
我在使用mysql 5.7.x运行Rails 4.0.x应用程序时遇到了这个问题。 我可以通过升级到Rails 4.2.x并升级我的gem来修复它。(我确定这些gemfile需要工作,但希望它们仍然有用)旧的Gemfilesource 'https://rubygems.org'ruby '2.0.0'# Bundle edge Rails instead: gem 'rails', github...
virtual_canvas_backend_api:使用Ruby on Rails构建的虚拟画布的后端。 使用ActionCable进行网络套接字以启用与多个客户端的画布连接。 这将保留所有动画对象,并将它们与各自的画布和用户连接起来。 创建用户,画布,带书签的画布和动画端点
03-28
使用了PostgreSQL附加gem'pg'以及取消了Rails中给定gem套中的'rack-cors'注释。 bundle install 在根目录中运行“ rails db:migrate”以在本地创建数据库。 随意运行“ rails db:seed以获取一些入门诗歌” ...
猫配对游戏:rails-js-app
02-11
CORS安装:宝石“ rack-cors” SERIALIZER安装:gem'active_model_serializers' 贡献: 分叉并克隆项目 麻省理工学院执照 版权所有<2021> Sara Isabel Garcia Reyes 特此免费授予获得该软件和相关文档文件(...
appdev.academy:Ruby on Rails后端的https
05-25
Rails中,可以使用`rack-cors` gem来处理这个问题。 6. **浏览器兼容性**:确保你的应用支持所有现代浏览器的TLS版本,因为某些旧版本的浏览器可能不支持最新的加密套件。 7. **HSTS(严格传输安全)**:启用...
recordstore-rails-vue:使用RailsVue JS的Recordstore应用程序
04-18
Gem pg 1.2.3 Gem bcrypt 3.1.7 Gem rack-cors Gem 我们到底在建造什么? 这个应用程序的核心很简单。 这将是黑胶唱片的存档,按艺术家分类。 我们不会实现大量的外部逻辑,而只是按顺序获得基于API的应用程序的...
[ruby on rails]部署时候产生ActiveRecord::PreparedStatementCacheExpired错误的原因及解决方法
最新发布
深度的博客
07-11 1086
rails6 以上可以把 database中 prepared_statements 设为 false来禁用这个功能。rails6以下没测试,如果上面的不行可以试试新建个初始化文件。如下面的例子,添加或删除字段后执行SELECT时,获取到这个错误然后会抛出。
java后端项目启动失败,解决端口被占用问题
SUMMERENT的博客
07-11 291
报错信息: Web server failed to start . Port 8020 was already in use.netstat -ano | findstr 端口号。taskkill /F /PID 进程ID。举例:关闭8020端口。
后端——全局异常处理
m0_73991249的博客
07-09 398
当我们执行一些错误操作导致程序报错时,程序会捕捉到异常报错,这个异常会存在一个Exception对象里那我们在spring boot工程开发时,当我们执行一个sql查询时报错了,那就会从最底层的Mapper层捕捉到Exception异常,然后一路往Service、Controller传出去那么学过java的应该知道,怎么才能捕捉到这个Exception异常并显示?就得用【try-catch】
Nginx七层(应用层)反向代理:UWSGI代理uwsgi_pass篇
jclee95的个人博客
07-10 1081
Nginx提供了多种应用层反向代理支持,包括proxy_pass、uwsgi_pass、fastcgi_pass和scgi_pass等。其中,proxy_pass指令可以接受一个URL参数,用于实现对HTTP/HTTPS协议的反向代理;uwsgi_pass用于代理到uWSGI应用服务器;fastcgi_pass用于代理到FastCGI服务器;而scgi_pass则用于代理到SCGI(Simple Common Gateway Interface)应用。这些指令使Nginx能够灵活地处理不同类型的后端服务和应
如何搭建互联网医院系统源码?医疗陪诊APP开发实战详解
meihusdk的博客
07-11 267
希望本文能够为正在或即将从事相关开发的技术人员提供一些参考和帮助。通过不断的努力和创新,我们可以为患者提供更优质的医疗服务,推动医疗行业的数字化转型。
学习ruby on rails
05-26
学习 Ruby on Rails 可以按照以下步骤进行: 1. 安装 RubyRails:在开始学习 Ruby on Rails 之前,您需要安装 RubyRails。您可以在官方网站上下载并安装 RubyRails。 2. 学习 Ruby:在学习 Rails 之前...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值