Tại sao mọi người bỏ qua xác minh và tăng tính dễ bị tổn thương bảo mật của ứng dụng? Có ích khi vô hiệu hóa nó trên các trang chỉ có các yêu cầu GET? Cảm ơn trước.Khi nào bỏ qua verify_authenticity_token
8
A
Trả lời
4
CRSF séc đã được bỏ qua cho yêu cầu GET trong đường ray
http://guides.rubyonrails.org/security.html
3,1 CSRF pháp đối phó - Thứ nhất, như là cần thiết bởi W3C, sử dụng GET và POST một cách thích hợp. Thứ hai, một mã thông báo bảo mật trong các yêu cầu không GET sẽ bảo vệ ứng dụng của bạn khỏi CSRF.
Bạn cũng có thể xem chính phương thức đó.
.... Also, GET requests are not protected as these should be idempotent. ....
verified_request?()
Returns true or false if a request is verified. Checks:
is it a GET request? Gets should be safe and idempotent
1
Nếu bạn có ứng dụng tên miền chéo, bạn có thể gặp lỗi với xác minh bằng lời nói và bạn có thể tắt nó, nhưng tất nhiên ứng dụng của bạn sẽ không an toàn. Trong đường ray 3 có những phương pháp đặc biệt dành cho giải pháp tên miền chéo trong ra khỏi hộp
Các vấn đề liên quan
- 1. Khi nào thì bỏ qua MVVM?
- 2. Khi bỏ qua phím trùng lặp?
- 3. Bỏ qua thuộc tính khi deserializing
- 4. Bỏ qua SVN bỏ qua ... có thể?
- 5. bỏ qua OnItemSelectedListener kích hoạt khi tạo
- 6. Debug.WriteLine bỏ qua trong khi gỡ lỗi
- 7. Sự cố khi bỏ qua các tệp bị bỏ qua trước đó trong Git repo
- 8. Khi nào tôi nên chọn sao chép bỏ qua đối số truyền qua tham chiếu const?
- 9. Làm cách nào để lặp qua loại enum trong khi bỏ qua một số giá trị?
- 10. MS Web Deploy Bỏ qua Quy tắc không bỏ qua
- 11. Bỏ qua xác thực khi xóa nút trong Drupal 7
- 12. Safari bỏ qua tabindex
- 13. SimpleDateFormat bỏ qua tháng khi phân tích cú pháp
- 14. Bỏ qua phần tử gốc trong khi deserializing json
- 15. Bỏ qua/bỏ qua thư mục/tệp trong TortoiseSVN
- 16. Cách bỏ qua hoặc bỏ qua trang trí python
- 17. .htaccess bị bỏ qua khi sử dụng URI bí danh
- 18. Bỏ qua DTD khi phân tích cú pháp XML
- 19. cách bỏ qua vòng lặp khi gỡ lỗi mã R
- 20. Bỏ qua xác thực khi đi ngược lại trong SmartWizard
- 21. matplotlib: bỏ qua các ngoại lệ khi vẽ
- 22. CSS: Bỏ qua chiều cao div khi nổi
- 23. Console.ReadLine bị bỏ qua
- 24. Bỏ qua: liên lạc khi lưu đối tượng ActiveRecord
- 25. Bỏ qua một số lớp trong khi quét PackagesToScan
- 26. Tệp. App.config bị bỏ qua khi trong c: \ ProgramFiles \
- 27. Làm cách nào để bỏ qua hoặc bỏ qua lỗi trong javascript/jquery?
- 28. Bỏ qua mã hóa được chỉ định khi deserializing XML
- 29. rspec bỏ qua skip_before_filter?
- 30. Bỏ qua loại chưa biết khi deserializing xml
Cảm ơn cho câu trả lời. Bạn có biết nếu có bất kỳ lợi ích nào (ví dụ như lợi ích hiệu suất) để bỏ qua xác minh trên các trang chỉ có yêu cầu GET? – Steve
Bạn có thể chỉnh sửa trong dòng application_controller: 'protect_from_forgery: except => [: index,: show]' – ka8725