'protect_from_forgery' в контроллере приложений в Rails

В файле config/application_controller.rb в моем каталоге приложений Rails я нашел код ниже:

class ApplicationController < ActionController::Base
  protect_from_forgery
end

Может ли кто-нибудь сказать мне, что означает project_from_forgery и почему он используется?

Ответы

Ответ 1

Он защищает от csrf. например все POST-запросы должны иметь определенный токен безопасности.

http://en.wikipedia.org/wiki/Cross-site_request_forgery

http://guides.rubyonrails.org/security.html#cross-site-request-forgery-csrf

Ответ 2

Это встроенная функция рельсов для предотвращения атак csrf,

Подробнее об этой ссылке,

http://railskey.wordpress.com/2012/07/02/rails-protect_from_forgery/

Атака на сценарии межсайтового сценария предотвращается добавлением маркера аутентификации для формирования поля в качестве скрытого поля. В поле "По запросу" этот токен сопоставляется с тем, который хранится в базе данных.

Ответ 3

protect_from_forgery. Функция Rails, которая защищает от атак типа Cross-Site Request Forgery (CSRF).

Эта функция делает все сгенерированные формы скрытым полем id. Это поле id должно соответствовать сохраненному id или отправка формы не принимается.

Это предотвращает появление вредоносных форм на других сайтах или формах, вставленных с XSS, в приложение Rails.