Monthly Archives: June 2013

Rails 4的一些新功能

总体 1. 支持Ruby 2.0 不支持Ruby1.8系了,最低也得1.9.3。 2. 动态查找器没有了 这个东西太灵活了,代码可能少敲两个字母,外人看来容易引起迷惑。 原来是 find_by_name ‘aaa’ 现在是 find_by name:’aaa’ 3. routing里禁止了裸match 即如果用match的话就必须给:via选项。 否则的话默认开启了GET和POST等,容易导致CSRF攻击。 请直接用协议,比如 post ‘controller/action’ => ‘controller#action’ 4. 增加concerns目录 为了解决业务逻辑无处可写的窘境,在controller和model各添加了标准的concerns目录,这里的文件都是autoload的。 5. 用bin目录代替script目录 不多说,rails,rake,bundle都放这里。 6. 可以在浏览器上浏览route设置。 之前需要通过rake routes命令,现在可以在浏览器通过路径/rails/info/routes来确认了。 Modle相关 7. 增加where.not 如何在sql里查找不属于某个人的东西? where name <>

Posted in Rails, Ruby, Web Tagged with: , , , , ,

在Rails下通过Google API Client访问Google Calendar接口

本文主要介绍通过使用Google API Client来在Rails应用里来访问Google Calendar接口来访问日程信息。 本文的主要代码可以从这里下载 。 1. 在Google网站创建应用程序 在Google API Console创建应用: a. 打开网址https://code.google.com/apis/console b. 点击左边API Access 菜单 c. 在API Access里面(右边)创建一个Cliend ID,注意Application Type选择Web Application 最主要的是确保callback地址正确,本例是 http://localhost:3000/gcalendar/callback,基本上这样就可以。如果调试的时候出现错误,可根据错误信息酌情修改API设置。 2. 在本地实现API调用 在服务端设置好之后,就可以在自己机器上实现API的调用代码了。 2.1. 安装 Google API Client 在工程根目录下编辑Gemfile,加入: gem ‘google-api-client’ 然后执行: bundle install 2.2.

Posted in Rails, Web

使用omniauth-bitbucket和bitbucket.org做帐号连接

1. 安装omniauth-bitbucket 首先新建一个rails的工程,具体过程就不说了,然后编辑Gemfile 其中,bitbucket_rest_api是bitbucket API的Ruby包装,这里如果不写git源的话,在我Ruby2.0+Rails4的情况下会导致hashie依赖错误。 omniauth-bitbucket是omniauth的bitbucket实现。 值得一提的是,omniauth-bitbucket 是一个杭州的工程师写的,具体可以参考其github主页。 编辑完Gemfile之后,就可以执行bundle install了。 2. 使用omniauth-bitbucket和bitbucket 2.1. 设置oauth 的provider 编辑config/initializers/omniauth.rb文件 2.2. 设置oauth认证的routing规则 编辑routes.rb 这一句,同时生成了/auth/:provider这个url,在本例里,即”/auth/bitbucket”。用户访问这个url,会立即被导向provider的认证授权页面。而授权后的callback页面,就是上面的match规则指定的url。 关于oauth认证相关的东西,代码其是很少。 2.3. 处理callback 在上面设置的callback方法里,就可以处理服务端返回的授权token了。 直接从request里即可取得auth情报,这个auth是一个AuthHash类的实例,其中最重要的信息应该就是用户的access token和secret了,可以通过: 从request里取得的auth情报,就可以做各种处理了,比如保存到数据库之类的。 现在就可以开始测试了,可以设置一个页面,里面有指向/auth/bitbucket的连接,或者直接在浏览器输入/auth/bitbucket。 2.4. 使用BitBucket 有了auth信息,就可以生产BitBucket的实例并使用了: 具体的BitBucket类和方法请参考相关Doc,也可以通过irb来确认: 3. 其它 如果不喜欢omniauth的url风格,可以在初始化的时候自己定制:

Posted in Rails, Web Tagged with: , ,

跨站点请求伪造(CSRF)及对策

今天,微博里流传着“搜狗输入法泄密事件”。 安全问题,一直以来都是关系到企业生存的重要问题,然而真正把安全问题提到重要位置的公司又有几家?据乌云漏洞的官方说法,搜狗输入法这个问题早在5月就已经提交给厂商了,然后,这一问题并没被搜狗加以重视,以至于现在在网上掀起了又一个风波。 不说公司,我们程序员在写代码的时候,又有多少人想到过如何处理安全问题?在这里,我们就来普及以下CSRF的基本知识及相关预防措施。 1. 什么是CSRF攻击 CSRF是Cross site request forgeries的首字母缩写,有时候也有人写作XSRF。 这也是和XSS,SQL注入等并列的比较常见的Web开发中的安全问题。 简单来说,就是用户在浏览a.com站点的时候,里面有一些恶意内容,在暗地里访问了另一个站点b.com的内容,从而在用户不知情的情况下做出了一些恶意操作。 2. 攻击原理 就其技术背景来说,基本上攻击目标都是需要用户登录认证后面受保护的内容,基本上都是通过cookie和session来完成操作的。 其基本攻击原理见下图: 首先,用户先按正常流程访问某一服务,并保持登录状态; 之后,在第4步的时候,用户通过邮件或者IM等,收到了具有恶意代码的攻击网址,当用户打开此攻击页面时,攻击者通过利用img,script,iframe等元素的src属性,来在用户不知情的情况下,发起对正常site的恶意访问。在图中第5步时,恶意代码已经执行完毕,完成了攻击工作。 3. 防范措施 这里总结一些基本的防范措施,包括rails和php里的基本方法。 3.1. 基本防范措施 此部分内容不局限于某一具体语言,可作为基本原则进行参考。 3.1.1. 对可能成为恶意代码寄存元素的检查 比如,尽量不让用户能自由定制带有javascript和iframe的内容; 对于用户可以上传图片,内容编辑的功能,对需要显示图片的img元素,确保对src属性进行验证。 3.1.2. 使用Cookie的HttpOnly属性 通过使用这个属性,禁止客户端脚本来访问Cookie,从而保证数据的安全。 3.1.3. 检查Referer 通过检查http header里的Referer来确认请求是否合法。 不过这个方法可能会导致编码变得复杂,因为我们必须对整个系统的所有请求链进行程序化。最严重的问题是,存在有可能会取不到Referer的情况。 3.1.4. anti CSRF token 这个方法一般被认为是最实用,且也是应用最广泛的一种方法。

Posted in Tech, Web Tagged with: ,

go语言中的cookie处理

本例子主要是演示go语言中关于cookie处理的几个函数,也可以在这里下载 有几点需要注意的,先提前列出来: 往客户端写入cookie,需要往respose里写,而不是request,这个很容易混淆,因为request有AddCookie方法,这个看起来就很吸引人使用。而往response的方法是http包里的函数SetCookie 。实际上,request的AddCookie是把http当做客户端的时候使用的。 写cookie需要在往response里写入body前进行。特别要注意这个时机问题。 删除cookie通过设置cookie的MaxAge为负数来实现。 全部代码如下(请从这里取得最新代码) 测试的话请运行此程序然后在浏览器确认。

Posted in go, Tech

Install Ruby2.0 and Rails 4.0 on OX S Part 2

接上文《Install Ruby2.0 and Rails 4.0 on OX S Part 1》,本文接着介绍如何安装rails4.0 。 1. 安装bundle 需要注意bundle版本问题 $ gem install bundler –no-ri –no-rdoc $ bundle -v Bundler version 1.3.5 必要时可能需要rbenv rehash操作。 2. 安装rails4.0 安装过程很简单,也很顺利。 按照rails官方说法,如下安装: $ gem install rails –version 4.0.0.rc1 –no-ri –no-rdoc

Posted in Rails, Ruby, Tech

Install Ruby2.0 and Rails 4.0 on OX S Part 1

Ruby 2.0都出来好一段时间了,咱也赶个时髦刷新一下,现在用的版本还是1.8.7呢。 本文主要介绍在OX S 10.8.3下安装rbenv和Ruby2.0的过程。 1. 事先准备 有些东西是前提条件,需要保证完成如下两个包的安装。 1.1. Command Line Tools 编译Ruby需要c编译器,所以要在系统里提前安装Xcode并安装Command Line Tools 1.2. ruby-build 编译Ruby用的,它是一个rbenv的plugin,实际上rbenv install命令就是它提供的。 $ brew install ruby-build 2. 安装rbenv和需要的包 2.1. 什么是rbenv? 简单来说,因为Ruby的稳定版和开发版本比较多,所以有很多需要同时支持几个版本的需求,rvm和rbenv就是干这个的。 rbenv年纪小于rvm,设计之初就是以简单为主,比如连编译ruby都不是自己来做,而是使用了ruby-build。另外,更重要的是它和Bundler配合的很好,这对Rails开发者来说很重要。 2.2. 安装rbenv mac下可以直接用brew安装rbenv,还算方便,只需如下命令即可: $ brew install rbenv 但是,有些工作还是需要手工来做的,比如执行上面这条命令后,会打印出如下信息: To enable shims

Posted in Rails, Ruby Tagged with: , , , ,

无觅相关文章插件,快速提升流量