Ruby 关于 CSRF Token 的几个问题

jiang_plus · 2013年12月01日 · 最后由 nightire 回复于 2013年12月02日 · 3772 次阅读

看完了 Ruby on Rails Security Guide,但是对 CSRF 那一还是不太明白,请教一下大家:

  1. Rails 对 CSRF Token 验证的是什么?类似于 Session 么?
  2. Token 的有效范围和生命周期是多少?每个表单,页面,还是整个网站共用一个,每一次是否必须不同?
  3. 如果自己用 javascript 提交表单,是否需要带上 token?尤其是表单不是 rails 生成而是自己动态生成的时候,或者在单页面的 WebApp 中

有个 Yehuda 的演讲Why Rails is Hard专门说了 CSRF,可以看一下,slide 13 页开始,Youtube 上地址

可以看一下这篇,不但解释了 CSRF,而且还讲了什么方法无效,什么方法有效——不只是 Rails

需要 登录 后方可回复, 如果你还没有账号请 注册新账号