Rails、OAuth 和 CSRF 保护

发布于 2024-08-13 13:47:17 字数 1006 浏览 7 评论 0原文

我正在使用 REST 和 OAuth 与 Rails 应用程序对话（来自 iPhone 应用程序，但这应该不相关）。但是，我遇到了 Rails 的 CSRF 保护（通过 protects_from_forgery）的一些问题。

据我所知，CSRF 保护仅在常规表单提交时生效（即 Content-Type=application/x-www-form-urlencoded），因此如果我提交 JSON 或 XML 数据，那就没问题了。不幸的是，OAuth 目前仅限于 application/x-www-form-urlencoded 请求。有一个规范草案将 OAuth 扩展到非form-urlencoded data，但这现在对我没有帮助。

在我看来，我有以下选项：

以 JSON 形式发送数据，因为知道它不会成为 OAuth 签名的一部分，因此会受到中间人攻击。显然这不是一个有吸引力的解决方案。
创建特殊的 Rails 操作（例如 UsersController#update_oauth），在内部委托给常规操作（例如 UsersController#update）。然后将它们排除在伪造保护之外 (protects_from_forgery :only => [:update])。这应该可行，并且对于一两个操作来说可能是可接受的，但显然这将是一个非常混乱的解决方案。
覆盖 Rails CSRF 保护以忽略 OAuth 请求。我还没有尝试过这一点，但似乎应该可以更改其中一个挂钩（可能是 verify_authenticity_token 过滤器）以认为 OAuth 请求成功。

以前有人遇到过这个吗？有什么建议吗？或者我可能错过了一些基本的东西？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

孤独岁月 2024-08-20 13:47:17

我会回答我自己的问题。 :)

我将以下方法添加到我们的 OAuth 控制器扩展中。在默认实现之上添加的唯一内容是 oauth? 检查。这似乎可以解决问题，并且感觉是一个非常干净的解决方案。

def verify_authenticity_token
  verified_request? || oauth? || raise(ActionController::InvalidAuthenticityToken)      
end

I'll answer my own question. :)

I added the following method to our OAuth controller extensions. The only thing this adds on top of the default implementation is the oauth? check. This seems to do the trick and feels like a pretty clean solution.

def verify_authenticity_token
  verified_request? || oauth? || raise(ActionController::InvalidAuthenticityToken)      
end

回复收藏 0 原文

~没有更多了~

关于作者

慕烟庭风

暂无简介

0 文章

0 评论

22 人气

关注发私信

友情链接

文江博客

Rails、OAuth 和 CSRF 保护

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（1）

关于作者

相关话题

热门标签

推荐作者

留蓝

18790681156

zach7772

Wini

ayeshaaroy

初雪

友情链接

Rails、OAuth 和 CSRF 保护

如果你对这篇内容有疑问，欢迎到本站社区发帖提问 参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（1）

关于作者

相关话题

热门标签

推荐作者

留蓝

18790681156

zach7772

Wini

ayeshaaroy

初雪

友情链接

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。