后期操作需要 Rails 授权吗？

Question

我有一个应用程序正在用 Rails 3 编写，带有 Cancan 和 devise。我很好奇从安全角度来看，在控制器上授权后操作是否必要或有帮助？假设我的所有控制器操作都需要通过设备进行身份验证（即用户必须登录）。

我明白为什么我需要通过 cancan 对使用 GET 的控制器操作进行授权，因为用户可以简单地输入他们希望自由访问的 url，并且必须将其锁定。然而，对于帖子，用户必须从表单发布数据，该表单通过令牌来防止 xss 攻击。

在这种情况下，是否可以安全地假设，如果我使用 cancan 限制视图中按钮的可见性，用户将无法恶意提交表单？

非常感谢

编辑：

感谢大家的快速回答。正如下面所指出的，恶意用户可以使用 firebug 等工具伪造表单帖子，因此需要授权。

使用水豚/黄瓜模拟这种类型的交互（用户使用他们破解的表单发布到 URL）的最佳方法是什么？

再次感谢。

Answer 1

用户可以提交 POST 请求，无论他们是否在您的网站上。您认为安全令牌将有助于防止 XSS 是正确的，但我会为其他攻击方法添加身份验证。

如果您担心安全性，可以阅读一本不错的（免费）电子书：Ruby on Rails 安全指南。它概述了所有常见的恶意攻击形式，甚至探讨了一些较少使用（但同样有效）的方法。它还提供了有关如何使您的应用程序更加安全的出色解决方案。

Answer 2

您应该在控制器中验证用户授权。

使用 FireBug 等简单工具，您可以手动编辑表单内容，甚至添加更多文本字段或类似字段。 XSS 保护对此无济于事。

Answer 3

用户仍然能够在客户端生成按钮（从使用 Firebug 到更改浏览器代码的任何方法都可以）并发送表单。如果我没记错的话，令牌是在 HTML header co 中发送的，那么伪造表单就不成问题了。