該標籤下有 1 篇文章
Rails 內建慣例與安全的預設(CSRF 保護、Strong Parameters、ORM),但正式環境的事故來自維運。本頁是可實作的參考:(1) 依優先度排序的強化清單(P0–P2)(2) 各領域指引——秘密與 credentials(master key/secret_key_base)、正式環境設定(force_ssl、不外露例外)、gem CVE、Strong Parameters/Mass Assignment、授權(Pundit、擁有者範圍)、注入與危險方法(where 串接/send/constantize)、工作階段/cookie/CSRF、SSRF/上傳,以及 (3) 自我檢查清單。純防禦——不含攻擊步驟。