Question

# This middleware is not used when using the Rack::Protection collection,
# since it might be a security issue, depending on your application

有人能描述这个中间件什么时候成为安全问题的例子吗？

Answer 1

根据https://github.com/rkh/rack-protection/issues/38“FormToken允许通过xhr请求而不使用令牌。”

因此，如果您依赖表单令牌并且没有采取额外措施来防止xhr请求，则可能会将此视为安全风险。您可能认为请求是真实的（因为它受FormToken保护 - 对！！）实际上它是伪造的。通过强制您明确安装FormToken，开发人员希望您将检查它的作用并采取必要的步骤。