Question

当用户单击电子邮件中的链接以重置令牌时，我的重置密码令牌正在泄露给Google Analytics（分析）。 http://localhost:5000/users/password/edit?reset_password_token=g1xMHpjsDEE3MkMFUapo

检查后我可以看到

https://www.google-analytics.com/collect?v=1&_v=j73&a=1182934228&t=event&ni=1&_s=1&dl=http%3A%2F%2Flocalhost%2Fusers%2Fpassword%2Fedit%3Freset_password_token%3Dg1xMHpjsDEE3MkMFUapo&ul=en-us&de=UTF-8&dt=ABC&sd=24-bit&sr=1366x768&vp=1286x247&je=0&ec=Scroll%20Depth&ea=%2Fusers%2Fpassword%2Fedit&el=25%25&_utma=111872281.1944961626.1546492539.1548676828.1548676828.1&_utmz=111872281.1548676828.1.1.utmcsr%3D(direct)%7Cutmccn%3D(direct)%7Cutmcmd%3D(none)&_utmht=1550758398105&_u=QACCAEAB~&jid=&gjid=&cid=1944961626.1546492539&tid=UA-25463847-1&_gid=1342755913.1550758313&gtm=2wg241WZ6LHH2&z=1855597746

尝试了以下链接，但没有用，请帮忙。

https://thoughtbot.com/blog/is-your-site-leaking-password-reset-links

https://github.com/thoughtbot/clearance/pull/707

https://github.com/thoughtbot/clearance/pull/706

我的passwords_controller.rb

def创建 self.resource = resource_class.send_reset_password_instructions（resource_params）如果block_given可以产生资源？

if successfully_sent?(resource)
  respond_with({}, location: after_sending_reset_password_instructions_path_for(resource_name))
else
  respond_with(resource)
end

结束

def编辑 self.resource = resource_class.new resource.reset_password_token =参数[：reset_password_token] 结束

Answer 1

您只需从该特定页面中删除Google Analytics（分析）脚本即可。

我假定您将脚本导入应用程序布局文件中，因此有两个选择：

为用户模型创建一个单独的布局文件。
如果要重置控制器的密码，请在当前布局文件中放置一个条件以检查控制器，而不导入google Analytics。

如果您执行两者之一，则应停止“泄漏”。

密码重置令牌泄漏到Google Analytics（分析）

1 个答案: