RESTful 应用程序中的 XSRF

Question

我是一名 ASP.NET 开发人员，正在尝试学习 Rails 和 RESTful 方法。 为了理解这一点，我计划编写一个电子邮件客户端，它会对服务器进行 RESTful GET 调用以获取电子邮件，并通过 POST 调用来发送电子邮件。

要遵循哪些最佳实践（通用的和/或特定于 Rails 的），以便上述应用程序不会暴露任何 XSRF 漏洞。

Answer 1

Ruby on Rails 安全项目关于此的一个好帖子。

本质上，Rails 2.0 及更高版本具有针对 XSRF 攻击的内置保护。 通过表单助手创建的每个表单都包含一个带有特殊标记的隐藏字段。 每次收到 POST（或非 GET）时，都会根据服务器上的机密检查令牌。 如果它们不匹配，则会引发安全异常并忽略请求。

阅读文章。 他们在解释方面做得更好。