我是一名尝试学习Rails和RESTful方法的ASP.NET开发人员。为了理解,我打算编写一个电子邮件客户端,它将对服务器进行RESTful GET调用以获取电子邮件,并发送POST以发送电子邮件。
要遵循哪些最佳实践(通用和/或特定于Rails),以便上述应用程序不会暴露任何XSRF漏洞。
答案 0 :(得分:3)
Ruby on Rails Security Project有一个很好的帖子。
基本上,Rails 2.0及更高版本具有针对XSRF攻击的内置保护。通过表单助手创建的每个表单都包含一个隐藏字段,其中包含一个特殊标记。每次收到POST(或非GET)时,都会根据服务器上的密码检查令牌。如果它们不匹配,则抛出安全性异常并忽略该请求。
阅读文章。他们在解释它时做得更好。