ログインページで csrf/authenticity トークン保護をオフにすることを検討しています。(ログイン ポスト アクションで skip_before_filter を使用する可能性があります)。これにより、サイトの静的な html ページから投稿できるようになります。これのセキュリティへの影響は何ですか?ログイン ポストのみをオフにすると、実行できる悪意はあまりないようです。
質問する
888 次
1 に答える
2
CSRF トークンは、ボットをブロックするようには設計されていません! CSRF (クロス サイト リクエスト フォージェリ) は、スプーフィングされたフォーミュラー/URL が、たとえば目に見えない iframe によってトリガーされる攻撃です。脆弱なシステムでは、これにより、攻撃者がホームページの構成を変更できます。
攻撃の例を説明しましょう。Web ショップの管理者が自分の管理者アカウントにログインしています。攻撃者は、偽のホームページへのリンクを含むメールを彼に送信します。管理者がページに入ると、JavaScript が新しい管理者ユーザーを作成するためのフォームを送信する URL にデータを送信し、JavaScript は新しいユーザー名、新しいパスワードなどの必要なすべてのデータを送信します。管理者はログインしています。したがって、ウェブショップの時点から、管理者は通常の新しい管理者アカウントを作成します。すべてがバックグラウンドで発生したため、管理者の視点からは何も起こりません。CSRF トークンは、フォームがこのような方法で攻撃されるのを防ぎます。
ウィキペディアで CSRF について詳しく読むことができます: http://en.wikipedia.org/wiki/Cross-site_request_forgery
于 2012-06-06T21:37:44.743 に答える