我有以下路线:
resources :widgets do
resources :orders
end
以便请求,例如到/widgets/1/orders/new转到OrderController,它可以访问params[:widget_id]以了解正在购买的小部件。
问题是:我在OrderController中使用force_ssl。这导致请求:
http://www.example.com/widgets/1/orders/new
被重定向(302)到:
https://www.example.com/
换句话说,force_ssl正在执行其工作(重定向到URL的https协议版本),但正在销毁流程中路由的动态段指定的参数。我怎样才能防止这种情况发生(更可取)或以最不具攻击性的方式解决这个问题?
请注意,这是在Heroku上托管的,例如Apache重定向对我不起作用。
答案 0 :(得分:3)
我认为 force_ssl 的默认行为是将参数从非安全连接传递到安全连接。如果这不是您想要的行为,您可以尝试通过添加类似的初始化程序来覆盖force_ssl函数:
#
# Pass parameters in SSL redirects
#
module ActionController
module ForceSSL
module ClassMethods
def force_ssl(options = {})
host = options.delete(:host)
before_filter(options) do
if !request.ssl? && !Rails.env.development?
secure_params = request.params.clone
[:only, :except, :protocol, :status, :host].each {|s| secure_params.delete(s)}
redirect_options = {:protocol => 'https://', :status => :moved_permanently}
redirect_options.merge!(:host => host) if host
redirect_to redirect_options.merge(secure_params)
end
end
end
end
end
end