何时使用/不使用protect_from_forgery

Question

我知道如何启用/禁用真实性令牌验证，但我不知道何时启用它是有意义的。

例如，在rails应用程序中，我理解以下内容。如果我搞错了，请告诉我。

网站：

• 公共页(未登录)应启用真实性令牌验证。
• 身份验证页面(登录、注册、丢失密码.)应该启用真实性令牌验证
• 私有页(登录)不需要启用真实性令牌验证。

Api：

• 公共api (未登录，JSON访问)应启用真实性令牌验证
• 身份验证api (登录、注册、丢失密码.、JSON访问)应启用真实性令牌验证
• 私有api (登录、JSON访问)不需要启用真实性令牌验证。

Answer 1

私人页面不需要启用CSRF保护是不正确的。对用户进行身份验证的私有页面是易受CSRF攻击的页面。在这次攻击中，被登录的人会被欺骗(例如，点击电子邮件中的链接)，让他们采取他们不打算采取的行动--网站接受这一点，因为它来自一个登录用户，并且有一个有效的会话。protect_from_forgery通过确保非GET请求只能由知道他们正在采取的操作的用户从站点本身启动来防止这一点。