我不明白为什么protect_from_forgery是安全的。它可以在每个非GET表单上提供真实性令牌。但正如我所见,它只是静态数据。我试图在我自己的网站上浏览几页以确保这一点。如果是这样的话。为什么恶意链接已经包含了这个,因为编码器可以直接访问该网站获取它?或者实际的真实性令牌会随着时间的推移随机化,只是因为我没有尝试过足够长的时间?
注意:我只在测试环境中尝试过这个。
答案 0 :(得分:1)
此主题提供了大量资源,讨论了protect_from_forgery的工作原理以及它如何使您的应用程序更加安全。
作为一个起点,有rails security guide讨论了这个以及其他几个主题。
还有Wikipedia page that discusses cross site request forgery。
最后,这个问题already has a great answer on SO。
希望这些资源有所帮助。