1

因为 form_authenticity_token 用于验证请求,当您已经在检查用户是否登录时使用它是否多余?

也就是说,form_authenticity_token 真的只适用于任何人都可以使用的表单,而不是专门为登录用户使用的表单吗?

4

2 回答 2

2

登录会使 XSRF 攻击变得更糟,因为它实际上可能会损坏真实数据。检查这些作为起点。

RESTful 应用程序中的 XSRF

跨站点请求伪造和您

于 2009-02-15T17:08:55.070 回答
0

不,因为在 CSRF 攻击中,请求是由经过身份验证的客户端浏览器发送的,并且可能会删除他的数据。

阅读有关 CSRF 的 Ruby on Rails 安全指南部分

于 2009-02-16T23:44:00.570 回答