CSRF保护和跨站表单访问

Question

我正在研究跨站点身份验证（某些域具有通用身份验证）。所以我想将身份验证数据（登录名、密码）从其他人发送到主域。

我应该如何使用 protect_from_forgery 以及如何检查数据是否来自有效域？

我现在的想法是关闭会话控制器的 protect_from_forgery 并检查接收到的数据的域名。

但也许我不仅可以为一个域配置 CSRF 保护？

Answer 1

保护通过检查会话 [:_csrf_token] 来进行，因此如果您的会话在所有域中都相同，则 protected_from_forgery 可以起作用。

Answer 2

您的目的是 CSRF 漏洞的定义。强制用户登录或注销通常对攻击者没有用。要完成此黑客攻击，攻击者必须知道用户名和密码，这违背了“会话骑乘”另一个用户的经过身份验证的会话的目的。作为一名编写 CSRF 漏洞 的铁杆黑客，我告诉您这不是一个严重的问题。

修补此问题的一个简单方法是检查引荐来源网址并确保登录请求源自域白名单。修补此问题的另一种方法是使用像 reCapthca 这样的 Capthca。是的，你没看错。之所以有效，是因为攻击者无法使用 javascript 或 flash 解析 capthca 来“伪造”有效的登录请求。