我们正在考虑在我们的登录页面上关闭 csrf/authenticity 令牌保护。(可能在登录发布操作上有一个skip_before_filter)。这将允许我们从我们网站上的静态 html 页面发布。这对安全有什么影响?看来,如果我们只为登录帖子关闭它,就没有多少恶意可以做。
问问题
888 次
1 回答
2
CSRF 代币并非旨在阻止机器人!CSRF(跨站点请求伪造)是一种攻击,其中欺骗的公式/url 被触发,例如由不可见的 iframe。在弱系统上,这会让攻击者更改主页上的配置。
让我描述一个示例攻击:网上商店的管理员登录到他的管理员帐户。攻击者现在向他发送一封邮件,其中包含指向虚假主页的链接。当管理员进入页面时,JavaScript 会向 URL 发送数据,他将在该 URL 发送表单以创建新的管理员用户,并且 JavaScript 会发送所有需要的数据,例如新用户名、新密码等。管理员已登录,因此从网上商店的角度来看,管理员会创建一个常规的新管理员帐户。从管理员的角度来看,什么都没有发生,因为一切都发生在后台。CSRF 令牌可防止表单以此类方式受到攻击。
您可以在 wikipedia 上阅读更多关于 CSRF 的信息:http ://en.wikipedia.org/wiki/Cross-site_request_forgery
于 2012-06-06T21:37:44.743 回答