删除protect_from_forgery

Question

我有一个关于Rails应用中的protect_from_forgery的问题。我在我的rails项目中使用Devise，最近解决了一个关于我一直使用的版本的安全问题，即Devise的2.1.2版本。我已经从2.1.2更新到2.1.3，并使用Rails 3.2.12

所以我试着更新它，但更新后，我一直得到一个401，无法再登录。

现在我向社区提出的问题是，为了让登录过程再次正常工作，我需要从我的application_controller中删除protect_from_forgery，然后一切都会正常工作。

但是我在想，如果我删除了它，是否没有引入任何其他的安全漏洞？要使用应用程序，您必须先登录，然后才能执行任何操作。所以我假设XSS不会影响我的应用程序，或者它会影响我的应用程序吗？

期待得到一些反馈。

Answer 1

您似乎正在使用自定义表单进行登录，而不是使用devise中的默认表单或由rails表单助手生成的表单。

当post请求没有真实性令牌时，可能会发生这种问题。

对于自定义表单，您需要添加身份验证令牌作为隐藏参数。