Ruby on Rails

ความปลอดภัยของ Rails

การป้องกัน CSRF, SQL injection, XSS, mass assignment, การจัดการ secrets, HTTPS

22 คำถามสัมภาษณ์·
Senior
1

Rails ใช้กลไกใดโดยค่าเริ่มต้นเพื่อป้องกันการโจมตีแบบ CSRF?

คำตอบ

Rails สร้าง CSRF token ที่ไม่ซ้ำกันต่อหนึ่งเซสชันและแทรกลงในฟอร์มโดยอัตโนมัติผ่านฟิลด์ hidden โทเค็นนี้จะถูกตรวจสอบฝั่งเซิร์ฟเวอร์สำหรับทุกคำขอที่ไม่ใช่ GET เฮลเปอร์ form_with จะแทรกโทเค็นนี้โดยอัตโนมัติ และ protect_from_forgery เปิดใช้งานโดยค่าเริ่มต้นใน ApplicationController

2

จะปิดการป้องกัน CSRF สำหรับ action เฉพาะใน API controller ได้อย่างไร?

คำตอบ

เมธอด skip_before_action :verify_authenticity_token จะปิดการตรวจสอบ CSRF สำหรับ action เฉพาะ ซึ่งพบได้ทั่วไปใน API ที่ใช้การยืนยันตัวตนแบบ token (JWT, API key) แทน session แนะนำให้จำกัดข้อยกเว้นนี้เฉพาะ action ที่จำเป็นจริง ๆ โดยใช้ตัวเลือก only

3

ช่องโหว่ใดที่ถูกใช้ประโยชน์ในโค้ดนี้: User.where("name = '#{params[:name]}'")?

คำตอบ

การแทรก params โดยตรงในคำสั่ง SQL เปิดช่องให้เกิด SQL injection ผู้โจมตีสามารถส่ง name="'; DROP TABLE users; --" เพื่อรันโค้ด SQL ตามอำเภอใจได้ ให้ใช้ placeholder ของ ActiveRecord แทน: User.where(name: params[:name]) หรือ User.where("name = ?", params[:name])

4

เมธอด ActiveRecord ใดที่ป้องกัน SQL injection โดยอัตโนมัติ?

5

Rails ป้องกันการโจมตี XSS ในวิว ERB โดยอัตโนมัติอย่างไร?

+19 คำถามสัมภาษณ์

หัวข้อสัมภาษณ์ Ruby on Rails อื่นๆ

พื้นฐาน Ruby

Junior
25 คำถาม

การเขียนโปรแกรมเชิงวัตถุใน Ruby

Junior
20 คำถาม

พื้นฐาน Rails

Junior
18 คำถาม

Routing & Controllers

Junior
22 คำถาม

พื้นฐาน ActiveRecord

Junior
25 คำถาม

Views และ ERB Templates

Junior
20 คำถาม

การเชื่อมโยงของ ActiveRecord

Mid-Level
24 คำถาม

การสอบถาม ActiveRecord ขั้นสูง

Mid-Level
28 คำถาม

ฟอร์ม Rails

Mid-Level
20 คำถาม

การยืนยันตัวตนและการอนุญาต

Mid-Level
22 คำถาม

Asset Pipeline สมัยใหม่และ frontend

Mid-Level
18 คำถาม

โหมด API ของ Rails

Mid-Level
20 คำถาม

การทดสอบด้วย RSpec

Mid-Level
24 คำถาม

ActiveJob & Background Jobs

Mid-Level
20 คำถาม

ActionCable & WebSockets

Mid-Level
18 คำถาม

ActionMailer

Mid-Level
18 คำถาม

ActiveStorage

Mid-Level
20 คำถาม

กลยุทธ์การ Caching

Mid-Level
20 คำถาม

การ Migration ขั้นสูง

Mid-Level
20 คำถาม

Rails Engines และแอปแบบโมดูลาร์

Senior
18 คำถาม

การเพิ่มประสิทธิภาพการทำงาน

Senior
26 คำถาม

Design Patterns ใน Rails

Senior
22 คำถาม

เมตาโปรแกรมมิงใน Ruby

Senior
20 คำถาม

GraphQL กับ Rails

Senior
20 คำถาม

การดีพลอยและโปรดักชัน

Senior
20 คำถาม

Monitoring & Logging

Senior
20 คำถาม

กลยุทธ์การอัปเกรด Rails

Senior
18 คำถาม

เชี่ยวชาญ Ruby on Rails สำหรับการสัมภาษณ์ครั้งถัดไป

เข้าถึงคำถามทั้งหมด flashcards แบบทดสอบเทคนิค แบบฝึกหัด code review และตัวจำลองสัมภาษณ์

เริ่มใช้ฟรี