Rails: фильтрация конфиденциальных данных в параметре JSON из журналов

Question

Rails: фильтрация конфиденциальных данных в параметре JSON из журналов

Я использую Rails 3 и пытаюсь отфильтровать конфиденциальную информацию из наших журналов, которые являются BLOB-объектами JSON и передаются в качестве параметров post. Например, создание пользователя может принимать пост-параметр user со строковым значением, которое является объектом JSON. Одним из ключей в объекте JSON является password и мы хотим отфильтровать это из наших журналов. Лучший способ сделать это - добавить блок в наши filter_params, вот так:

keys_to_filter = ['password', 'password_confirmation']
config.filter_parameters << lambda do |k,v|
  if v.is_a? String
    keys_to_filter.each do |key|
      # Match "key":"<filter_out>", or "key":"<filter_out>"}, allowing for whitespace
      v.sub!(/("\s*#{key}\s*")\s*:\s*"[^,\}]*"\s*([,\}])/, "\\1:\"[FILTERED]\"\\2")
    end
  end
end

Это добавляет блок к filter_params, что вызывает ошибку, которая описана в другом вопросе: Rails: ParameterFilter:: compiled_filter пытается дублировать символ

Похоже, что небезопасно передавать блок в filter_parameters, поэтому мне интересно, есть ли другой способ решить эту проблему.

10

json ruby-on-rails security ruby-on-rails-3 actiondispatch

Источник

user510180 10 мар '11 в 20:49

4 ответа

Другие вопросы по тегам json ruby-on-rails security ruby-on-rails-3 actiondispatch

user5299483 07 апр '16 в 17:48 2016-04-07 17:48 · Answer 1 · 2016-04-07 17:48

Почему ответ @ Несбитта недооценен (внизу)? Конечно, он ссылается на код в наборе тестов, но этот набор тестов просто тестирует функцию, задокументированную в ActionDispatch:: Http:: FilterParameters:

Если указан блок, каждому ключу и значению хэша params и всех подэташей передается в него, значение или ключ можно заменить с помощью String#replace или аналогичного метода.

Смотрите комментарии в документации по API для Rails 3.x здесь.

Мне нужно было сделать то же самое: преобразовать поле в BLOB-объект JSON, который был отправлен с HTTP-запросом POST, в приложение Rails 3. В моем случае я просто хотел включить хешированный дайджест поля, поэтому в config / application.rb:

config.filter_parameters += [:password, lambda {|key, value|
  if key.to_s == 'my_key'
    value.replace(calculate_my_hash(value))
  end
}]

user120434 03 июн '11 в 18:22 2011-06-03 18:22 · Answer 2 · 2011-06-03 18:22

Есть пример передачи блока filter_parameters в тестовом наборе Rails:

config.filter_parameters += [ :foo, 'bar', lambda { |key, value|
  value = value.reverse if key =~ /baz/
 }]

2

Источник

user120434 03 июн '11 в 18:22

user855425 21 июл '11 в 09:12 2011-07-21 09:12 · Answer 3 · 2011-07-21 09:12

Я занимаюсь разработкой приложения на Rails 3 и использую Backbone.js. Я передаю объекты JSON при создании или обновлении записи. Я отверг функцию toJSON моей модели Backbone и жестко запрограммировал параметр пароля, чтобы проверить вашу проблему. В моем случае config.filter_parameters - это просто [:password], и он корректно фильтрует параметры пароля в журналах. Сначала я проверил это в обновлении, которое отправляет запрос PUT. Затем я протестировал это в create с запросом POST, чтобы проверить, есть ли какая-либо особая ошибка при отправке POST. Пароль по-прежнему фильтруется правильно. Я что-то пропустил?

Похоже, config.filter_parameters работает правильно, без необходимости передавать блок.

user428803 14 июл '11 в 18:04 2011-07-14 18:04 · Answer 4 · 2011-07-14 18:04

Я имел дело с той же проблемой в нашем приложении. Я закончил тем, что блокировал всю строку JSON от регистрации, где были безопасные данные, и затем добавил явные регистраторы для любой информации, которую я хотел зарегистрировать.

0

Источник

user428803 14 июл '11 в 18:04