Rails csrf 令牌生命周期

Question

我使用 Rails request_forgery_protection 机制来保护我的 POST 操作免受 CSRF 攻击，并使用验证码来保护 GET 操作。这样，如果有人在一个会话中发起两阶段攻击，使用当前令牌 GET-ting 表单，然后使用该令牌 POST-ing 伪造请求，他最终将面临验证码检查。

但我坚持这一点，因为 Rails 在会话结束之前不会重新生成 CSRF 令牌。这对我来说似乎不对，我认为应该在下一步操作之前更新令牌。我想知道也许我调整了什么错误？还有另一种方法可以做到这一点吗？

谢谢。

Answer 1

我不确定这是否是一个好主意，但是您可以在从应用程序控制器内部获取请求时自己将令牌清零。

before_filter :reset_csrf


private
def reset_csrf
  session[:_csrf_token] = nil if request.get?
end

Answer 2

如果没有为每个页面请求重新生成表单令牌，则这种保护很糟糕。我前段时间遇到过这个问题（在测试Redmine时，它是基于RoR的）并报告了这个问题，但没有重新测试它。

如果仍然没有重新生成，我建议您向RoR团队报告此情况。