В Rails вам нужно использовать form_authenticity_token, если вы уже проверяете, вошел ли пользователь в систему? - PullRequest
1 голос
/ 15 февраля 2009

Поскольку form_authenticity_token используется для проверки запросов, является ли излишним использование его, когда вы уже проверяете, вошел ли пользователь в систему?

Т.е. действительно ли form_authenticity_token предназначен только для форм, доступных любому, в отличие от форм, предназначенных исключительно для вошедших в систему пользователей?

Ответы [ 2 ]

2 голосов
/ 15 февраля 2009

Вход в систему усугубит атаку XSRF, потому что тогда она может фактически повредить реальные данные. Проверьте это как отправную точку.

XSRF в приложении RESTful

Подделка межсайтовых запросов и Вы

0 голосов
/ 17 февраля 2009

Нет, потому что в CSRF-атаках запросы отправляются браузером клиента, который аутентифицирован и может удалить его данные.

Прочтите раздел Руководство по безопасности Ruby on Rails о CSRF .

...