为什么protect_from_forgery是安全的？

Question

我不明白为什么protect_from_forgery是安全的。它可以在每个非获取表单上提供一个真实性令牌。但正如我所见，这只是静态数据。我试着在我自己的网站上浏览几页，以确保这一点。如果是这样的话。为什么恶意链接不包括这一点，因为编码器可以通过直接访问站点获得它？或者，真正的真实性标记是随机的，只是我没有尝试足够长的时间？

注意:我只在测试环境中尝试过这一点。

Answer 1

在这个主题上有大量可用的资源，讨论protect_from_forgery是如何工作的，以及它如何使应用程序更加安全。

作为一个起点，有一个rails安全指南来讨论这个问题以及其他几个主题。

还有一个讨论跨站点请求伪造的Wikipedia页面。

最后，这个问题已经有了一个很好的答案。

希望这些资源能帮上忙。