【问题标题】:XSRF in a RESTful ApplicationRESTful 应用程序中的 XSRF
【发布时间】:2010-09-20 04:19:36
【问题描述】:

我是一名尝试学习 Rails 和 RESTful 方法的 ASP.NET 开发人员。为了理解,我打算编写一个电子邮件客户端,它会向服务器发出 RESTful GET 调用以获取电子邮件并通过 POST 发送电子邮件。

要遵循哪些最佳实践(通用和/或特定于 Rails)以使上述应用程序不会暴露任何 XSRF 漏洞。

【问题讨论】:

    标签: ruby-on-rails rest csrf


    【解决方案1】:

    Ruby on Rails Security Project 对此有很好的帖子。

    基本上,Rails 2.0 及更高版本具有针对 XSRF 攻击的内置保护。通过表单助手创建的每个表单都包含一个带有特殊标记的隐藏字段。每次收到 POST(或非 GET)时,都会根据服务器上的机密检查令牌。如果它们不匹配,则会引发安全异常并忽略请求。

    阅读文章。他们在解释方面做得更好。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2019-06-14
      • 2012-10-16
      • 2018-03-04
      • 2013-06-17
      • 2018-04-12
      • 2017-07-14
      • 2015-11-14
      相关资源
      最近更新 更多