嵌入式表单上的 CSRF 问题

【问题标题】:CSRF issue on embedded form嵌入式表单上的 CSRF 问题
【发布时间】:2018-10-17 04:14:02
【问题描述】:

我有一个嵌入了 Ruby on Rails 网站(这是我们的会员区,位于子域上)的一些元素的 Wordpress 网站。这些元素包括登录表单。当人们使用它时,Rails 由于 CSRF 令牌无效而返回错误。我是否必须为登录操作禁用 CSRF?我有哪些选择?如果答案是禁用它,那么 Devise 有没有一种轻松的方法呢?

【问题讨论】:

  • 如何嵌入登录表单?是否包含带有authentity_token 的隐藏字段?
  • 即使你禁用 csrf 登录检查,我猜任何其他操作在 Rails 应用程序中仍然不起作用,所以如果你找到它失败的根本原因,你会更好,因为它不应该。

标签: ruby-on-rails csrf protect-from-forgery


【解决方案1】:

出于安全目的,请勿禁用 CSRF 令牌。相反,查看代码并确定 CSRF 令牌的来源,通常是数据库,然后您可以使用该令牌值创建一个变量,并将其回显到相关表单中的一个字段中,并使用 PHP 的特定 CSRF 令牌参数期待。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2012-07-26
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2017-09-02
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode