У меня есть приложение, которое я пишу на рельсах 3 с канком и разрабатываю.Мне любопытно, если авторизация почтовых действий на ваших контроллерах необходима или полезна с точки зрения безопасности?Предполагая, что все действия моего контроллера требуют аутентификации w / devise (т.е. пользователь должен войти в систему).
Я понимаю, почему мне нужна авторизация через cancan для действий моего контроллера, которые используют GET, поскольку пользователь может просто ввести URL-адрес, который онхотите посетить свободно, и это должно быть заблокировано.Однако с сообщениями пользователь должен опубликовать данные из формы, которая защищена от xss-атаки токеном.
В этом случае можно с уверенностью предположить, что если я ограничу видимость, скажем,кнопка на мой взгляд с cancan, что пользователь не сможет отправить форму злонамеренно?
Большое спасибо
РЕДАКТИРОВАТЬ:
Спасибо за быстрый ответ, ребята.Как указывалось ниже, злоумышленник может подделать сообщение в форме, используя такие инструменты, как firebug, и поэтому необходима авторизация.
Каков наилучший способ симулировать этот тип взаимодействия (пользователь, отправляющий сообщение наURL с формой, которую они взломали) используя капибару / огурец?
Еще раз спасибо.