В Rails вам нужно использовать form_authenticity_token, если вы уже проверяете, вошел ли пользователь в систему?

Question

Поскольку form_authenticity_token используется для проверки запросов, является ли излишним использование его, когда вы уже проверяете, вошел ли пользователь в систему?

Т.е. действительно ли form_authenticity_token предназначен только для форм, доступных любому, в отличие от форм, предназначенных исключительно для вошедших в систему пользователей?

Answer 1

Вход в систему усугубит атаку XSRF, потому что тогда она может фактически повредить реальные данные. Проверьте это как отправную точку.

XSRF в приложении RESTful

Подделка межсайтовых запросов и Вы

Answer 2

Нет, потому что в CSRF-атаках запросы отправляются браузером клиента, который аутентифицирован и может удалить его данные.

Прочтите раздел Руководство по безопасности Ruby on Rails о CSRF .