【发布时间】:2011-01-04 23:11:13
【问题描述】:
Rails 提供 filter_parameter_logging 来过滤 Rails 日志中的敏感参数。
如果您有 JSONP API,则 URL 中可能存在一些敏感信息。有没有办法从日志中过滤请求 URL?
【问题讨论】:
标签: ruby-on-rails json filter ruby-on-rails-2
Rails 提供 filter_parameter_logging 来过滤 Rails 日志中的敏感参数。
如果您有 JSONP API,则 URL 中可能存在一些敏感信息。有没有办法从日志中过滤请求 URL?
【问题讨论】:
标签: ruby-on-rails json filter ruby-on-rails-2
注意:这里的答案是让它在 Rails 2.x ~> 3.0 上工作的方法。从 Rails 3.1 开始,如果你设置了config.filter_parameters,Rails 也会过滤掉查询字符串中的敏感参数。详情请参阅this commit。
我认为在这种情况下,您需要在ActionController::Base 中覆盖complete_request_uri,因为ActionController::Benchmarking 调用该方法并打印如下所示的行:
Completed in 171ms (View: 35, DB: 7) | 200 OK [http://localhost:3000/]
我认为您可以将其放入初始化程序中以覆盖此方法
class ActionController::Base
private
def complete_request_uri
"#{request.protocol}#{request.host}#{request.request_uri.gsub(/secret=([a-z0-9]+)/i, "secret=[FILTERTED]")}"
end
end
请注意,您需要对正则表达式进行一些操作,以使其替换您想要的部分。
【讨论】:
遗憾的是,这在 Rails 3 中不再有效。路径(包括查询参数)来自 ActionDispatch::Request,它继承自 Rack::Request。这是您可以放入初始化程序的相关猴子补丁:
class ActionDispatch::Request
def fullpath
@fullpath ||= super.gsub(/secret=[^&]+/, 'secret=[FILTERED]')
end
end
我改用在正则表达式中使用[^&],因为参数中很容易包含不是字母或数字的字符。
【讨论】:
rails 3.2.11 上不起作用。希望这将使其成为主要的 Rails 宝石。