Rack::Protection::FormToken的标题注释说:
# This middleware is not used when using the Rack::Protection collection, # since it might be a security issue, depending on your application
谁能描述这个中间件何时成为安全问题的例子?
问问题
76 次
1 回答
0
根据https://github.com/rkh/rack-protection/issues/38 “FormToken 允许在没有令牌的情况下通过 xhr 请求。”
因此,如果您依赖表单令牌并且没有采取额外措施来防止 xhr 请求,那么这可能会被视为安全风险。您可能会假设请求是真实的(因为它受 FormToken 保护 - 对吧!?),而实际上它是伪造的。通过强制您显式安装 FormToken,开发人员希望您检查它的作用并采取必要的步骤。
于 2013-10-29T17:21:33.387 回答