【发布时间】:2013-09-10 19:54:32
【问题描述】:
我想知道为什么 Rails 形成 Authenticity Tokens 会持续整个会话,而不是每次提交时都生成唯一的。
我来自web2py,表单是使用称为_formkey 的唯一一次性令牌生成的。 formkey自动防止由于双击、后退键缓存等导致的重复提交。
在 Rails 中,您显然必须自己处理双重提交问题(参见 https://stackoverflow.com/a/4683161/165673)。在我看来,一次性真实性令牌可以解决这个问题,并且更安全?
【问题讨论】:
-
特别是,我认为一次性令牌方法对BREACH attack 更安全。
标签: ruby-on-rails forms web2py authenticity-token