我正在使用Ruby on Rails创建一个应用程序,企业可以在其中创建帐户并添加有关其客户的信息。我希望能够生成一个表格,他们可以将这些表格放到他们的网站上,自动将客户的信息输入他们的帐户。我知道我可以做类似的事情:
<% form_tag my_site_url_with_action do %>
....put here the fields for client info
但是我想知道是否有办法确保它来自我的客户网站,而不是来自某个垃圾网站,以确保其安全。
有什么想法吗?
谢谢,
担
答案 0 :(得分:2)
也许使用iframe可以帮到你?我认为使用它是不受欢迎的,但是使用完成工作的东西。 :)
在您的客户端网站上拥有iframe,您仍然可以登录并使用内置于rails中的所有XSS内容。
答案 1 :(得分:0)
如果您的rails应用使用RESTful资源,则可以使用ActiveResource。
否则,快速而肮脏的解决方案: 您的Rails站点上的表单具有真实性令牌作为隐藏输入。这可确保提交的信息来自安全的来源,例如网站本身。您可以在远程表单上使用该隐藏输入以使Rails接受它。您可能还希望编写接收操作,以便在完成处理后重定向回到它所来自的站点(redirect_to:back)。