Rails内置了日志过滤功能,因此您不需要记录密码和信用卡。对于这一点非常有效,但是当您想要触发自定义日志(如电子邮件)并发送自己的参数或其他数据时,参数显然不是自动过滤的。我一直在挖掘并试图在rails源中找到这个,但到目前为止还没有运气。
我已经将rails配置为过滤参数,如下所示,它可以正确地将数据保存在rails日志之外:
config.filter_parameters += [:password, :password_confirmation, :credit_card]
在将敏感数据转储到电子邮件,api调用或自定义(非rails)日志之前,如何从params哈希中过滤敏感数据?
Rails 4+
在Rails 4+中过滤日志的旁注:config.filter_parameters
已从应用程序中移动。
配置初始化/filter_parameter_logging.rb
Rails.application.config.filter_parameters += [:password]
tadman回答正确,但这里有一些额外的信息:
在application.rbconfig.filter_parameters += [:password, :password_confirmation, :credit_card]
无论你在哪里做自定义日志记录:
f = ActionDispatch::Http::ParameterFilter.new(Rails.application.config.filter_parameters)
f.filter :order => {:credit_card => "4111111111111111"}
=> {:order=>{:credit_card=>"[FILTERED]"}}
您始终可以使用except
方法:
params.except(:password, :password_confirmation, :credit_card)
将它们从列表中排除。要"过滤"它们,您可以尝试以下方法:
如果你是在一个rails控制器方法,为什么不只是调用request.filtered_parameters
?
使用已经提供的内容总是一个好的选择。干杯!
只需添加@tadman答案:
当使用except
时,要注意它只会删除参数的顶级键,例如:
params = {
search_query: 'foobar',
secret_key1: 'SENSITIVE_KEY_1',
auth_info: {secret_key_2: 'SENSITIVE_KEY2'}
}
params.except(:secret_key1, :secret_key2)
=> {:search_query=>"foobar", :auth_info=>{:secret_key_2=>"SENSITIVE_KEY2"}}
使用request.filtered_parameters
将过滤这两个键,如果它们在config/application.rb
config.filter_parameters += [:password]