Rack::Protection::FormTokenのヘッダー コメントには次のように書かれています。
# This middleware is not used when using the Rack::Protection collection, # since it might be a security issue, depending on your application
このミドルウェアがセキュリティ上の問題になる例を誰か説明できますか?
Rack::Protection::FormTokenのヘッダー コメントには次のように書かれています。
# This middleware is not used when using the Rack::Protection collection, # since it might be a security issue, depending on your application
このミドルウェアがセキュリティ上の問題になる例を誰か説明できますか?
https://github.com/rkh/rack-protection/issues/38によると、「FormToken はトークンなしで xhr リクエストを通過させます。」
そのため、フォーム トークンに依存していて、xhr リクエストから保護するための特別な措置を講じていない場合、これはセキュリティ リスクと見なされる可能性があります。実際には偽物だったのに、(FormToken によって保護されているため、正しい!?) リクエストが本物であると想定するかもしれません。FormToken を明示的にインストールすることを強制することで、開発者は、それが何をするかを調べ、必要な手順を実行することを望んでいます。