`protect_from_forgery with: :exception` 是否会崩溃?

【问题标题】:Does `protect_from_forgery with: :exception` crash process?`protect_from_forgery with: :exception` 是否会崩溃?
【发布时间】:2016-12-31 22:17:40
【问题描述】:

我正面临这样一种情况,即有不良行为者在大规模敏感(注销)端点上发布 JSON。

除了通过 IP 进行速率限制之外,我还想将 protect_from_forgery with: :exception 作为 before_filter 添加到 Rails 应用程序中。

该过滤器是返回 500 响应还是实际上引发了导致 Rails 进程崩溃的未捕获异常?在本地,似乎是后者。

我担心未经身份验证的机器人会通过反复崩溃进程来有效地 DDOS 服务。

【问题讨论】:

    标签: ruby-on-rails csrf protect-from-forgery


    【解决方案1】:

    不,您的应用程序中所有未捕获的异常都应由 Rails(或 Rack)拯救并记录下来,并向客户端返回 500 错误。只有段错误或其他严重故障会导致进程终止。即使在这种情况下,一个好的网络服务器(比如 Puma)也会重新启动这个过程。但是,即使 Puma 死机了,您的生产环境也应该有一个进程监视器(god、monit 等),如果它失败或超出内存限制,它将重新启动 Web 服务器。

    我很好奇您所说的“在本地,它似乎 [crash the Rails 进程]”是什么意思。您的rails server 命令实际上是在出现 CRSF 异常时退出?

    【讨论】:

    • 脑子放屁。我是 Ruby 新手,并没有意识到过多的堆栈跟踪不是崩溃 + 观看重启。你是绝对正确的。
    猜你喜欢
    • 1970-01-01
    • 2012-12-24
    • 2018-08-27
    • 1970-01-01
    • 2018-04-20
    • 2020-10-20
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode