问题标签 [protect-from-forgery]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
ruby-on-rails - 无法验证 CSRF 令牌的真实性 Rails/React
我在我的 Rails 应用程序中有一个反应组件,我试图用它向托管在 localhost 上的 Rails 应用程序fetch()发送POST,这给了我错误:
我正在使用设计 gem 来处理user/registrations和logins.
我试图删除protect_from_forgery with: :exception
这是我获取的代码,
如何获取 csrf 令牌并通过表单发送它以使其通过?
理想情况下,我只想通过标头发送它,但我不知道如何访问令牌。
security - 如何防止 Apache PDFBox 中的通用签名伪造 (USF)、增量保存攻击 (ISA)、签名包装 (SWA)
目前我正在使用 apache pdfbox 创建数字和电子签名。最近我开始了解数字和电子签名中的漏洞,例如通用签名伪造 (USF)、增量保存攻击 (ISA) 和签名包装 (SWA)。PDFBox 是否会自动处理此问题,或者我们是否需要在代码中额外执行以处理此问题
ruby-on-rails - 为什么没有更多的控制器由于未使用 skip_forgery_protection 而失败?
我正在将 Rails 应用程序从 5.2 升级到 6.1。以前我使用的是 5.1 默认值,现在我使用的是 6.1 默认值。
在 Rails 5.2 中,伪造保护成为默认设置。所以,当我一路升级到 6.1 时,一些事情开始出现问题。
我添加skip_forgery_protection到我的 graphql 控制器并修复了我所有失败的测试。没有测试访问其他控制器(肯定没有在前端实现伪造系统)失败,我手动尝试的其他事情也没有。
我的一个理论是 forgery_protection 仅适用于 POST、PUT、PATCH 和 DELETE,但我发现网上对此的讨论或提及为零,这似乎不是我所观察到的(尽管我承认我没有彻底测试该理论)。
一切都继承自同一个 ApplicationController
会发生什么?