【译】不要使用默认路由

Sunday, July 25, 2010

原文:http://rails-bestpractices.com/posts/12-not-use-default-route

不要使用默认路由, 它可能导致安全问题

丑陋的...

map.resources :posts, :member => { :push => :post }

map.connect ':controller/:action/:id'
map.connect ':controller/:action/:id.:format'

为什么不要使用默认路由, 在这个例子中, 定义了文章资源, 意味着用户只能通过POST方式来创建一篇文章, 通过PUT来更新一篇文章,
通过DELETE来销毁一篇文章,如果这是你期望的, 默认的路由将会是一个安全问题, 因为用户可以通过GET的方式来创建, 更新,
销毁文章如果你定义了默认路由

重构...

map.resources :posts, :member => { :push => :post }

#map.connect ':controller/:action/:id'
#map.connect ':controller/:action/:id.:format'

map.connect 'special/:action/:id', :controller => 'special'

请注释掉或者删除掉默认路由, 危险!~

This entry was tagged Rails and Best-Practices

comments powered by Disqus

© 2009-2013 lxneng.com. All rights reserved. Powered by Pyramid

go to Top