plz读取像'编程和'逻辑
这样的问题我需要比用户会话“更高的安全性”(比往常一样)。
我有一个(我认为)处理“合理”数量的'恩典代币'的好方案 (如保存的链接,通信probs,relogin等)
我想知道的是,如何构建rails中的CSRF,我可以影响它,以及如果,如何? (我发现的唯一的事情是'如何在ajax中使用,不重用,如何实现静态...)
我知道该怎么做,但我不想成为我的解决方案。
答案 0 :(得分:0)
每个新会话都会为每个会话生成CSRF令牌。
他们来自:
protect_from_forgery
protect_from_forgery secret: "123456789012345678901234567890..."
是否要实现静态CSRF令牌,否。只需实现自己的db back安全令牌,不要使用Rails内部。但是编写自己的,理解你的问题并编写安全的代码。
您可以完全忽略Rails安全指南
的建议"a security token in non-GET requests will protect your application from CSRF"