何时为删除操作生成真实性令牌

【问题标题】:When is the authenticity token generated for delete actions何时为删除操作生成真实性令牌
【发布时间】:2015-03-24 08:47:29
【问题描述】:

我了解到,当您查看newupdate 操作的表单时,rails 会生成真实性令牌以防止 CSRF 攻击,但是当操作为 destroy 时会生成此令牌,因此没有形式 ?

【问题讨论】:

    标签: ruby-on-rails csrf


    【解决方案1】:

    来自http://guides.rubyonrails.org/security.html#csrf-countermeasures

    为了防止所有其他伪造请求,我们引入了我们的网站知道但其他网站不知道的必需安全令牌。我们在请求中包含安全令牌并在服务器上对其进行验证。这是您的应用程序控制器中的单行代码,并且是新创建的 Rails 应用程序的默认设置:

    protect_from_forgery with: :exception

    这将在 Rails 生成的所有表单和 Ajax 请求中自动包含安全令牌。如果安全令牌与预期不匹配,则会引发异常。

    删除 - 在没有表单的情况下完成 - 很可能实现为 Ajax request 并被 protect_from_forgery 覆盖。

    【讨论】:

      猜你喜欢
      • 2015-12-08
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2013-07-22
      • 2011-03-04
      • 2013-04-21
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode