Rails 的protect_from_forgery 真的有用吗?

【问题标题】:Is Rails' protect_from_forgery really useful?Rails 的protect_from_forgery 真的有用吗?
【发布时间】:2010-12-20 07:40:16
【问题描述】:

我问这个是因为当我开始使用 ajax 或 flash 与 rails 通信时,我觉得这让我的生活变得过于复杂。

我知道防止 CSRF 很好,但我不能只检查referer 或其他东西吗?

【问题讨论】:

    标签: ruby-on-rails security protect-from-forgery


    【解决方案1】:

    许多用户停用他们的引荐来源网址,大多不是自愿的。
    但是因为它们位于阻止它的防火墙后面。

    使用防止伪造是保护您免受 CSRF 侵害​​的唯一解决方案。
    但是您可以为任何您希望的操作停用。

    在您的控制器中,添加:

    skip_before_filter :verify_authenticity_token, :only => :create

    这将停用您添加过滤器的控制器中创建操作的令牌验证。

    【讨论】:

    • 其实,问题是关于它是否真的有用,而不是关于如何关闭它,所以我认为这个答案不应该被接受。
    猜你喜欢
    • 2019-09-15
    • 2015-03-12
    • 2015-03-19
    • 2012-06-05
    • 1970-01-01
    • 1970-01-01
    • 2011-07-26
    • 2018-01-09
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode