似乎我在CSRF工作机制中遗漏了一些东西,据我所知:如果随表单提交的CSRF令牌与会话中的CSRF令牌不匹配,会话将被销毁,因此所有身份验证数据都将丢失并且很可能用户不会'能够完成所需的行动。
但是,黑客是否可以在表单中读取CSRF令牌并将其添加到由某些脚本生成的请求中?我的意思是我不明白CSRF令牌是如何防止任何事情的。
答案 0 :(得分:1)
让我们说你想破解你朋友的PayPal帐户并让他给你买东西。
但鉴于 paypal验证CSRF令牌,您将无法提交此类表单。
答案 1 :(得分:0)
表单中的CSRF令牌必须匹配另一个保留在服务器端的令牌。
有关详细信息,请参阅此处:http://guides.rubyonrails.org/security.html#cross-site-request-forgery-csrf