rails - Какой самый большой риск безопасности при намеренном отключении проверки CSRF для действия «создать»?

Question

У меня полностью работающий продукт на Rails 5. Теперь я хочу создать расширение для Chrome, с помощью которого пользователи могут создавать «Статьи».

Однако запросы из моего расширения Chrome будут обрабатываться как приложение Cross Site моим приложением rails. Следовательно, я думал о том, чтобы вообще не выполнять проверку CSRF на просто моем create действии.

Каков самый большой риск безопасности, связанный с этим? Я понимаю, что после этого любой сможет отправлять POST-запрос на мой сервер, который создает новую статью, - однако это не вредное действие, подобное обновить или, что еще хуже, удалить.

Answer 1

Руководство Rails утверждает, что

Метод атаки CSRF работает путем включения вредоносного кода или ссылки в страница, которая обращается к веб-приложению, которое, как полагают, имеет пользователь проверку подлинности. Если сеанс для этого веб-приложения не рассчитан злоумышленник может выполнить неавторизованные команды.

Если токен CSRF является действительным, это своего рода гарантия того, что сеанс пользователя не был перехвачен и запрос был сделан с согласия пользователя.

Для получения дополнительной информации, я рекомендую вам обратиться к руководству по Rails http://guides.rubyonrails.org/security.html#cross-site-request-forgery-csrf