Rails内置了日志过滤功能,因此您无需记录密码和信用卡。效果很好但是当你想要触发自定义日志(比如发送电子邮件)并发送自己的参数或其他数据时,参数显然不会自动过滤。我一直在挖掘并试图在轨道源中找到它,但到目前为止没有运气。
我已经配置了rails来过滤参数,如下所示,它可以正常工作以保持数据不受rails日志的影响:
config.filter_parameters += [:password, :password_confirmation, :credit_card]
如何将params哈希中的敏感数据转储到电子邮件,api调用或自定义(非rails)日志中之前如何过滤?
答案 0 :(得分:52)
在Rails 4+中过滤日志的旁注:config.filter_parameters
已从application.rb移动到它自己的初始化程序。
<强>配置/初始化/ filter_parameter_logging.rb 强>
Rails.application.config.filter_parameters += [:password]
答案 1 :(得分:44)
tadman回答正确,但这里有一些额外的信息:
在application.rb
中config.filter_parameters += [:password, :password_confirmation, :credit_card]
无论您在何处进行自定义日志记录:
f = ActionDispatch::Http::ParameterFilter.new(Rails.application.config.filter_parameters)
f.filter :order => {:credit_card => "4111111111111111"}
=> {:order=>{:credit_card=>"[FILTERED]"}}
答案 2 :(得分:33)
您始终可以使用except
方法:
params.except(:password, :password_confirmation, :credit_card)
这会将他们从列表中排除。要“过滤”它们,您可以try this approach。
答案 3 :(得分:16)
如果您使用的是rails控制器方法,为什么不调用request.filtered_parameters
?
使用已经提供的内容始终是一个不错的选择。干杯!
答案 4 :(得分:4)
添加@tadman回答:
使用except
时,请注意它只会删除参数的顶级键,例如:
params = {
search_query: 'foobar',
secret_key1: 'SENSITIVE_KEY_1',
auth_info: {secret_key_2: 'SENSITIVE_KEY2'}
}
params.except(:secret_key1, :secret_key2)
=> {:search_query=>"foobar", :auth_info=>{:secret_key_2=>"SENSITIVE_KEY2"}}
使用request.filtered_parameters
将过滤这两个密钥,如果它们位于config / application.rb
config.filter_parameters += [:password]