Question

Почему люди пропускают проверку и повышают уязвимость безопасности своего приложения? Выгодно ли отключать его на страницах, которые имеют только запросы GET? Заранее спасибо.

Miguel A. Friginal · Answer 1 · 25 февраля 2012

Проверка CRSF уже пропущена для запроса GET в рельсах

http://guides.rubyonrails.org/security.html

3.1 Контрмеры CSRF - Во-первых, как того требует W3C, используйте GET и POST соответствующим образом. Во-вторых, токен безопасности в не-GET-запросах защитит ваше приложение от CSRF.

Вы также можете увидеть сам метод.

http://api.rubyonrails.org/classes/ActionController/RequestForgeryProtection.html#method-i-verify_authenticity_token

 .... Also, GET requests are not protected as these should be idempotent. ....

 verified_request?()
   Returns true or false if a request is verified. Checks:
   is it a GET request? Gets should be safe and idempotent

ka8725 · Answer 2 · 25 февраля 2012

Если у вас есть междоменное приложение, у вас могут быть ошибки при проверке с помощью аутентификации и вы можете отключить его, но, конечно, ваше приложение не будет защищено.В рельсах 3 есть специальные методы для кросс-доменного решения вне коробки

Когда пропустить verify_authenticity_token

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Когда пропустить verify_authenticity_token

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов