我的新导轨程序已经有几天了。我正在运行它 Ubuntu 10.4与apache2在另一个位置,而不是它的网站 for(它是物理治疗师的独立数据库应用程序)。该 我现在制作的人希望我将它部署到公共部分 他们的网站,只有一个变化。那些通过链接打开它的人 公共部分不应该点击一个按钮!
我想在我看来做这样的事情:
<% if session[:inside]%>
<%=button_to 'Sækja mælitæki', @link_to_mt%>
<%end%>
如果程序启动,我怎么能将session [:inside]设置为true 从网页的私人部分?我想创造两个 新的动作,另一个将session [:inside]设置为true,另一个设置为true 是假的,但在我看来,这似乎是一种安全隐患,不是吗?
BR, 辛德里
答案 0 :(得分:1)
你可以使用引用者 请注意,这不是一个防弹解决方案,并且有许多插件(例如firefox)从每个请求中删除引用。
<% if request.referer.start_with? "your.internal.site" %>
<%=button_to 'Sækja mælitæki', @link_to_mt%>
<%end%>
按钮有什么作用?如果它偶然可见,这是一个很大的安全风险吗?