何时跳过verify_authenticity_token
何时跳过verify_authenticity_token
提问于 2012-02-25 07:05:49
为什么人们会跳过验证,增加应用的安全漏洞?在只有GET请求的页面上禁用它是否有益?提前谢谢。
回答 2
Stack Overflow用户
回答已采纳
发布于 2012-02-25 08:39:10
rails中的GET请求已跳过CRSF检查
http://guides.rubyonrails.org/security.html
CSRF 3.1CSRF对策-首先,按照W3C的要求,适当使用GET和POST。其次,非GET请求中的安全令牌将保护您的应用程序免受CSRF的攻击。
你也可以看到方法本身。
http://api.rubyonrails.org/classes/ActionController/RequestForgeryProtection.html#method-i-verify_authenticity_token
.... Also, GET requests are not protected as these should be idempotent. ....
verified_request?()
Returns true or false if a request is verified. Checks:
is it a GET request? Gets should be safe and idempotentStack Overflow用户
发布于 2012-02-25 07:37:45
如果你有跨域的应用程序,你可能会在authtoken验证时出错,你可以禁用它,但当然你的应用程序是不安全的。在Rails3中,对于开箱即用的跨域解决方案有一些特殊的方法
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/9439313
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号