我有一个 Rails 3 网站,其主页是静态内容和登录表单。我想在这个页面上使用HTTP 缓存(我们在 Heroku - 在 Varnish 后面),但是登录表单的真实性令牌被缓存,这会触发伪造保护并阻止除第一个会话之外的所有登录。
我认为我最好的做法是禁用此操作的伪造保护,但首先我想了解所涉及的风险。
那么……在这种情况下禁用伪造保护有什么风险?
或者,有没有更好的方法来解决这个问题?
问问题
840 次
1 回答
1
可能会发生不好的事情,默认情况下 CSRF 处于打开状态是有原因的。 http://en.wikipedia.org/wiki/Cross-site_request_forgery#Forging_login_requests
于 2011-06-06T03:22:35.987 回答