В каких браузерах работает защита Rails 3 XSRF?

Question

В Rails 3 есть хорошая защита XSRF для метода link_to, который генерирует некоторые пользовательские теги HTML5, хэш-ключ безопасности и с помощью набора JavaScript может отправлять запросы, используя более безопасные методы PUT / DELETE / POST вместо HTTP GET. Это очень мило.

Но я сомневаюсь, на каких браузерах это работает? Я имею в виду, что это определенно не работает, когда JavaScript отключен. Но должен ли браузер быть HTML5? AFAIK Существует много браузеров, которые реализуют некоторые части HTML5, и поскольку для этого метода требуется только собственный тег HTML, он может работать с более старыми.

Существует ли какой-либо документ, описывающий эту совместимость? Я заинтересован в:

• Chrome / Safari
• Firefox
• MSIE
• Opera

Спасибо

Answer 1

Ссылки содержат только эти специальные HTML5-данные, если вы хотите, чтобы ссылка была POST / PUT / DELETE.Обычная ссылка может быть только GET.Зависимость JavaScript связана с этим, а не с решением XSRF.

Настраиваемые атрибуты HTML5 (не теги) - это просто атрибуты с именем «data -...».Браузеры принимали пользовательские атрибуты до HTML5, но теперь есть способ, как вы можете добавлять пользовательские атрибуты, не ставя под угрозу вашу HTML5-валидность.

Итак, для этого списка браузеров, который вы предоставили: все работает, вплоть до IE6 (если вы не отключите JavaScript).