如何过滤rails中的参数?

时间:2011-08-29 15:56:54

标签: ruby-on-rails ruby filtering

Rails内置了日志过滤功能,因此您无需记录密码和信用卡。效果很好但是当你想要触发自定义日志(比如发送电子邮件)并发送自己的参数或其他数据时,参数显然不会自动过滤。我一直在挖掘并试图在轨道源中找到它,但到目前为止没有运气。

我已经配置了rails来过滤参数,如下所示,它可以正常工作以保持数据不受rails日志的影响:

config.filter_parameters += [:password, :password_confirmation, :credit_card]

如何将params哈希中的敏感数据转储到电子邮件,api调用或自定义(非rails)日志中之前如何过滤?

5 个答案:

答案 0 :(得分:52)

Rails 4 +

在Rails 4+中过滤日志的旁注:config.filter_parameters已从application.rb移动到它自己的初始化程序。

<强>配置/初始化/ filter_parameter_logging.rb

Rails.application.config.filter_parameters += [:password]

答案 1 :(得分:44)

tadman回答正确,但这里有一些额外的信息:

在application.rb

config.filter_parameters += [:password, :password_confirmation, :credit_card]

无论您在何处进行自定义日志记录:

f = ActionDispatch::Http::ParameterFilter.new(Rails.application.config.filter_parameters)
f.filter :order => {:credit_card => "4111111111111111"}

 => {:order=>{:credit_card=>"[FILTERED]"}} 

答案 2 :(得分:33)

您始终可以使用except方法:

params.except(:password, :password_confirmation, :credit_card)

这会将他们从列表中排除。要“过滤”它们,您可以try this approach

答案 3 :(得分:16)

如果您使用的是rails控制器方法,为什么不调用request.filtered_parameters

使用已经提供的内容始终是一个不错的选择。干杯!

答案 4 :(得分:4)

添加@tadman回答:

使用except时,请注意它只会删除参数的顶级键,例如:

params = {
  search_query: 'foobar', 
  secret_key1: 'SENSITIVE_KEY_1', 
  auth_info: {secret_key_2: 'SENSITIVE_KEY2'}
}
params.except(:secret_key1, :secret_key2)

=> {:search_query=>"foobar", :auth_info=>{:secret_key_2=>"SENSITIVE_KEY2"}}

使用request.filtered_parameters将过滤这两个密钥,如果它们位于config / application.rb

config.filter_parameters += [:password]