Q&A
コントローラーを別に作ってですね。たしかに認証ができます。ご回答ありがとうございます。
ファイルを送るときにはsend_fileを使うのが一般的でしょうか?
Ruby on Rails でのファイルアップロードに関するご質問です。
■概要
carrierwaveでアップロードしたファイル群をどのようにしたらセキュアに扱えるか。
■実施したいこと
・メッセージのやりとりをするアプリケーションを作成中
・ユーザがやりとりにファイルをアップロードできるようにしている
(現在、carrierwaveでpublicに入るようにしている)
・URLが予測できてしまうため、やりとりをしている2名以外のユーザもファイルをダウンロードできてしまう
・これをセキュアに扱う方法が知りたい
■検討したこと
・データベースにファイルをそのまま入れていくのは考えましたが、できればファイルをそのままアップしていきたい。(こちらも検討範囲ですので、こちらしかなければご遠慮なくそのようにお伝えください)
以上、よろしくお願い致します。
回答2件
0
ベストアンサー
URLがどのような形式かわからないのですが、例えばアップロードしたファイル名やIDがURLに埋め込まれるのであればそこをUUIDに変更するのはどうでしょうか。
How to: Create random and unique filenames for all versioned files
投稿2017/10/27 15:58
総合スコア15
0
方法としては、何通りか考えられます。
- ファイルをドキュメントルートの外に置いておいて、コントローラーがファイルを読み取って返すようにする
- ファイル自体はAWS S3のプライベートバケットにおいておいて、正しいユーザーにだけ一時URLを渡すようにする(AWS SDKを使えば手間なく実装できます)
投稿2017/10/27 06:55
総合スコア145183
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。