Rails 关于 Rails 中的 CSRF Token 问题

ecloud · 2017年07月12日 · 最后由 ecloud 回复于 2017年07月12日 · 2218 次阅读

在每个 Rails 生成的页面都通过

<%= csrf_meta_tags %>

生成 CSRF Token

<meta name="csrf-param" content="authenticity_token">
<meta name="csrf-token" content="Sxgm44xH0BeSX3kYS/4EKEvnxFbi/7Vdg4J+iQLm95bB3xrDO8ZE47lR/j5m3Ep+zBC4ehmKJX40v7n+wuPkZQ==">

我有一个疑问，服务器端在接收 POST 请求的时候如何验证 csrf-toke 的有效性？服务器将 csrf-token 存储在哪？比如用户打开多个页面，会有多个不同的 csrf-token，到底验证的机制是什么？

flypiggys #1 2017年07月12日

先贴一下代码吧... https://github.com/rails/rails/blob/48cb8b3e7097e9a1cb45b2298f59b9179f0dbdee/actionpack/lib/action_controller/metal/request_forgery_protection.rb#L329-L358

ecloud #2 2017年07月12日

@flypiggys 非常感谢，完美解决问题。我每次遇到这种疑问都不知道如何去查看源码，请问有什么方法吗？

flypiggys #3 2017年07月12日

对

ecloud 回复

这个我就搜了一下 protect_from_forgery 😂😂😂 如果遇到比较复杂无从下手的时候可能还是要根据对 rails 的熟悉程度猜一下要从哪个大的模块里面翻。

ecloud #4 2017年07月12日

对

flypiggys 回复

非常感谢。

需要登录后方可回复, 如果你还没有账号请注册新账号