对于我的一个朋友和我一直在从事的最近一个项目,我们想要构建一个 RESTful Web API 以供客户端应用程序使用。相信看了this之后,我对自上而下的图有了相当的把握,但是在涉及到安全问题时却是一无所知。
我知道 OAuth 并计划实施它,但还有其他我们应该首先解决的问题吗?我不想花大量时间来开发这些功能,以便以后发现我们已经让该网站处于开放状态,以进行恶意攻击。
谢谢。
【问题讨论】:
标签: ruby-on-rails security api oauth
如果您正在寻找有关网络安全的一般信息,请查看OWASP Ruby on Rails Security Guide V.2。 (还有一个first edition,我在当天读了回来。)查看 OWASP 的网站了解更多与安全相关的信息。
【讨论】:
为您提供更多资源:
常见网络攻击的精彩演练以及如何在 Rails 中处理它们 https://www.honeybadger.io/blog/guides/2013/03/09/ruby-security-tutorial-and-rails-security-guide
Rails 不安全的默认值 http://blog.codeclimate.com/blog/2013/03/27/rails-insecure-defaults
关于 sql 注入的一切,超越了简单的例子 http://rails-sqli.org
【讨论】: