Rails Paperclip S3隐藏附件的URL

时间:2016-06-01 23:43:52

标签: ruby-on-rails heroku amazon-s3 paperclip

我正在使用paperclip将文件直接上传到Aws s3(遵循本指南:https://devcenter.heroku.com/articles/paperclip-s3)。

如下图所示,用户可以使用" attachment.file.url"在浏览器中查看文件。方法。是否存在向用户显示s3网址的安全漏洞?如果是这样,有没有办法隐藏这个网址,而不首先将文件流式传输到应用程序或#34; download_file"控制器动作?

production.rb 

Rails.application.configure do
  config.paperclip_defaults = {
    storage: :s3,
    s3_credentials: {
      bucket: ENV.fetch('S3_BUCKET_NAME'),
      access_key_id: ENV.fetch('AWS_ACCESS_KEY_ID'),
      secret_access_key: ENV.fetch('AWS_SECRET_ACCESS_KEY'),
      s3_region: ENV.fetch('AWS_REGION'),
    }
  }
end

attachment.rb 

class Attachment < ActiveRecord::Base
  belongs_to :upload, polymorphic: true

  has_attached_file :file
  validates_attachment :file, content_type: { content_type: ["image/jpeg", "image/gif", "image/png", "application/pdf", "application/vnd.ms-excel",     
             "application/vnd.openxmlformats-officedocument.spreadsheetml.sheet",
             "application/msword", 
             "application/vnd.openxmlformats-officedocument.wordprocessingml.document", 
             "text/plain"] }
end

视图

<h5>File Uploads</h5>
  <ul>
    <% @attachments.each do |attachment| %>
      <li>
        <%= link_to attachment.file_file_name, attachment.file.url, :target => '_blank' %> 
      </li>
    <% end %>
  </ul>
  <%= link_to "Add Files", new_attachment_path(:upload_type => 'Team'), class: "btn btn-md" %>

1 个答案:

答案 0 :(得分:0)

任何可以使用开发工具的人都可以看到S3 URL,因此暴露它不是一个安全漏洞。有些人认为这是不好的用户体验,但这是另一次的讨论。

相关问题
最新问题