ruby-on-rails - software - ruby on rails tutorial

Rails 3 Deprecation SSL (4)

Estoy actualizando una aplicación a Rails 3.0.0 y me pregunto si el método estándar para agregar SSL ha cambiado (recuerdo vagamente demos que indican que el enrutador ahora podría manejar SSL, aunque no estoy seguro de si era solo para fines de demostración). Actualmente uso la gema "ssl_requirement", sin embargo me da:

ADVERTENCIA DE DEPRESIÓN: El uso de #request_uri está en desuso. Use fullpath en su lugar. (llamado desde ensure_proper_protocol en /Library/Ruby/Gems/1.8/gems/ssl_requirement-0.1.0/lib/ssl_requirement.rb:53)

Además, parece que se rompe cuando se manejan los nuevos atributos de ''método de datos''. Por ejemplo:

<%= link_to "Logout", user_path, :method => :delete %>

Funciona bien al acceder desde una sección SSL de la aplicación, pero falla (intenta reproducir la acción mostrar) cuando se sigue desde una sección no SSL (todas las acciones en el controlador requieren SSL, aunque entiendo que la acción de destrucción no se transmite de forma segura datos).

De hecho, es bastante simple en Rails 3. En config/routes.rb :

MyApplication::Application.routes.draw do resources :sessions, :constraints => { :protocol => "https" } end

O si necesita forzar SSL para múltiples rutas:

MyApplication::Application.routes.draw do scope :constraints => { :protocol => "https" } do # All your SSL routes. end end

Y el enlace a las rutas SSL se puede hacer así:

<%= link_to "Logout", sessions_url(:protocol => ''https''), :method => :delete %>

Si desea redireccionar automáticamente algunos controladores (o, en realidad, algunos subpases) a una URL https equivalente, puede agregar algo como esto a sus rutas (me gustaría que esta parte fuera más simple):

# Redirect /foos and anything starting with /foos/ to https. match "foos(/*path)", :to => redirect { |_, request| "https://" + request.host_with_port + request.fullpath }

Después de pasar una tarde buscando la mejor solución, me decidí por el enfoque descrito en este artículo: http://clearcove.ca/blog/2010/11/how-to-secure-a-rails-app-on-heroku-with-ssl-firesheep/ que hace referencia a este artículo: Forzar SSL utilizando ssl_requirement en la aplicación Rails 2

Básicamente haz esto:

# lib/middleware/force_ssl.rb class ForceSSL def initialize(app) @app = app end def call(env) if env[''HTTPS''] == ''on'' || env[''HTTP_X_FORWARDED_PROTO''] == ''https'' @app.call(env) else req = Rack::Request.new(env) [301, { "Location" => req.url.gsub(/^http:/, "https:") }, []] end end end # config/application.rb config.autoload_paths += %W( #{ config.root }/lib/middleware ) # config/environments/production.rb config.middleware.use "ForceSSL"

En los Rails posteriores (al menos 3.12+) puede usar lo siguiente, específico del entorno:

en config / environments / production.rb (u otro entorno)

# Force all access to the app over SSL, use Strict-Transport-Security, and use secure cookies. config.force_ssl = true

Toppic es viejo pero solo para googlear personas:

en * app / controller / your_controller.rb *

class LostPasswordsController < ApplicationController force_ssl def index #.... end end

si globalmente úsala en el controlador de aplicaciones

http://apidock.com/rails/ActionController/ForceSSL/ClassMethods/force_ssl

... thx SL por consejo