禁用 cookie 时处理 CSRF 保护

Question

如果未启用 cookie，表单发布将抛出 ActionController::InvalidAuthenticityToken。大多数情况下，我只是用一条消息来处理异常，指出登录我的应用程序需要 cookie。

但是，我的应用程序的用户可以做的一件事是创建与其他人共享的内容，这些人可能已登录，也可能未登录（这不是必需的）。此外，如果创建者选择这样做，该内容可以受到密码保护。这就是我遇到问题的地方。如果重要的话，我将使用 active_record_store 作为我的 session_store，并且还设置了 config.action_controller.session。

如果访问者在未启用 cookie 的情况下尝试解锁受密码保护的内容，应用程序将引发异常，并且从访问者的角度来看，会崩溃。我希望能够处理这种情况，但我不知道如何处理。我可以处理异常并允许在不检查 cookie 的情况下解锁内容，但如果我这样做，我可能也不会针对 CSRF 保护该操作，因为无论如何我都会打开一个漏洞，对吗？或者，我可以要求启用 cookie，以便可以对表单进行身份验证，但在这种情况下确实没有理由要求 cookie。

如果我理解正确的话，如果我禁用该操作的保护，我只会将解锁受保护的内容暴露给 CSRF 漏洞，但如果无论如何都没有启用 cookie，这会重要吗？有没有办法在处理缺少 cookie 时进行保护？

Answer 1

我认为禁用该操作不会有问题。伪造保护仅对对应用程序数据有一定影响的操作真正有用。