在每个 Rails 生成的页面都通过
<%= csrf_meta_tags %>
生成 CSRF Token
<meta name="csrf-param" content="authenticity_token">
<meta name="csrf-token" content="Sxgm44xH0BeSX3kYS/4EKEvnxFbi/7Vdg4J+iQLm95bB3xrDO8ZE47lR/j5m3Ep+zBC4ehmKJX40v7n+wuPkZQ==">
我有一个疑问,服务器端在接收 POST 请求的时候如何验证 csrf-toke 的有效性?服务器将 csrf-token 存储在哪?比如用户打开多个页面,会有多个不同的 csrf-token,到底验证的机制是什么?