1

Rails アプリの protect_from_forgery について質問があります。私は Rails プロジェクトで Devise を使用しています。最近、私が使用しているバージョン、つまり Devise の 2.1.2 に関するセキュリティの問題が解決されました。2.1.2 から 2.1.3 に更新し、Rails 3.2.12 を使用しています

そこで更新しようとしましたが、更新後も401が発生し続け、ログインできなくなりました。

コミュニティへの質問です。ログイン プロセスを再び機能させるには、application_controller から protect_from_forgery を削除する必要があり、すべて正常に機能しました。

しかし、これを削除しても、他のセキュリティホールが導入されなかったのではないかと思っていましたか? アプリを使用するには、何かを行う前にログインする必要があります。だから、XSS は私のアプリに影響を与えないと思いますか?

フィードバックをお待ちしております。

4

1 に答える 1

0

devise のデフォルト フォームや Rails フォーム ヘルパーによって生成されたフォームを使用するのではなく、ログインにカスタム フォームを使用しているようです。

この種の問題は、投稿リクエストが認証トークンなしで送信された場合に発生する可能性があります。

カスタム フォームの場合、認証トークンを隠しパラメータとして追加する必要がありました。

于 2013-07-25T11:19:47.143 に答える