4

Rails 3のWebサイトがあり、ホームページは静的コンテンツとログインフォームです。このページでHTTPキャッシングを使用したいのですが(Herokuにいます-Varnishの背後にあります)、ログインフォームの認証トークンがキャッシュされ、偽造保護がトリガーされ、最初のセッション以外のすべてのログインが防止されます。

私の最善の行動は、この行動の偽造保護を無効にすることだと思いますが、最初に、関連するリスクを理解したいと思います

それで…このシナリオで偽造保護を無効にするリスクは何ですか?

あるいは、この問題を解決するためのより良い方法はありますか?

4

1 に答える 1

1

悪いことが起こる可能性があります。CSRFがデフォルトでオンになっている理由があります。 http://en.wikipedia.org/wiki/Cross-site_request_forgery#Forging_login_requests

于 2011-06-06T03:22:35.987 に答える