当前位置：文江博客话题详情

ruby-on-rails ruby-on-rails-3

何时跳过 verify_authenticity_token

发布于 2025-01-08 20:52:55 字数 57 浏览 0 评论 0原文

为什么人们会跳过验证并增加应用程序的安全漏洞？在只有 GET 请求的页面上禁用它是否有益？提前致谢。

收藏 0

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

评论（2）

痴情 2025-01-15 20:52:55

Rails 中的 GET 请求已跳过 CRSF 检查

http://guides.rubyonrails.org/security.html

3.1 CSRF对策
— 首先，按照W3C的要求，适当使用GET和POST。其次，非 GET 请求中的安全令牌将保护您的应用程序免受 CSRF 的侵害。

您也可以看到该方法本身。

http://api.rubyonrails.org/classes/ActionController/RequestForgeryProtection .html#method-i-verify_authenticity_token

 .... Also, GET requests are not protected as these should be idempotent. ....

 verified_request?()
   Returns true or false if a request is verified. Checks:
   is it a GET request? Gets should be safe and idempotent

CRSF check is already skipped for GET request in rails

http://guides.rubyonrails.org/security.html

3.1 CSRF Countermeasures
— First, as is required by the W3C, use GET and POST appropriately. Secondly, a security token in non-GET requests will protect your application from CSRF.

You can see the method itself as well.

http://api.rubyonrails.org/classes/ActionController/RequestForgeryProtection.html#method-i-verify_authenticity_token

 .... Also, GET requests are not protected as these should be idempotent. ....

 verified_request?()
   Returns true or false if a request is verified. Checks:
   is it a GET request? Gets should be safe and idempotent

回复收藏 0 原文

喜你已久 2025-01-15 20:52:55

如果您有跨域应用程序，则 authtoken 验证可能会出现错误，您可以禁用它，但当然您的应用程序将不安全。 Rails 3 中有一些开箱即用的跨域解决方案的特殊方法

回复收藏 0 原文

~没有更多了~

关于作者

一束光，穿透我孤独的魂

暂无简介

文章

评论

26 人气

关注发私信

相关话题

热门标签

操作系统程序设计 IT运维 Linux系统管理 JavaScript 服务器应用 solaris C/C++ PHP Shell BSD Vue.js aix Oracle Python HTML 系统管理 HTML5 CSS 前端

推荐作者

卷耳

文章 0 评论 0

佚名

文章 0 评论 0

℉服软

文章 0 评论 0

qq_2gSKZM

文章 0 评论 0

凉宸

文章 0 评论 0

gyhjy

文章 0 评论 0

友情链接

我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的隐私政策了解更多相关信息。单击 接受 或继续使用网站，即表示您同意使用 Cookies 和您的相关数据。

原文