1

form_authenticity_token はリクエストの検証に使用されるため、ユーザーがログインしているかどうかを既に確認している場合に使用するのは冗長ですか?

つまり、form_authenticity_token は、ログイン ユーザー専用のフォームではなく、誰でも使用できるフォームのみを対象としているのですか?

4

2 に答える 2

2

ログインすると、XSRF 攻撃がさらに悪化します。実際のデータが破損する可能性があるからです。出発点としてこれらをチェックしてください。

RESTful アプリケーションでの XSRF

クロスサイト リクエスト フォージェリとあなた

于 2009-02-15T17:08:55.070 に答える
0

いいえ、CSRF 攻撃では、認証されたクライアントのブラウザによってリクエストが送信され、データが削除される可能性があるためです。

CSRF に関する Ruby on Rails Security Guide セクションを読んでください。

于 2009-02-16T23:44:00.570 に答える