标签: security token csrf
如果我的网站源代码可以查看我的跨站点请求伪造TOKEN,我正在生产中运行rails应用程序,并且可以看到跨站点请求伪造令牌。我想它不应该是可见的。
答案 0 :(得分:0)
只要令牌在每个用户会话中足够随机且唯一,如果在页面代码中看到它就完全没问题。 CSRF攻击假定恶意代码来自不同的来源,并且无法访问用户的页面。请参阅OWASP Article。