Ruby on rails 了解rails Authentity\u令牌的必要位置(静态页面登录?)
我一直在努力弄清楚我是否可以在我的静态主页上有一个登录表单。我想有一些静态页面,这将是伟大的有一个登录表单上。我花了一些时间来熟悉使用form_标记生成的authenticity_令牌,虽然我意识到我们通常希望检查所有未收到请求的请求,但我觉得可能会将其保留在登录中,因为在用户登录之前,我们不信任他们。如果恶意站点试图在此时使用CSRF,则需要知道用户在哪一点受到危害的登录名和密码Ruby on rails 了解rails Authentity\u令牌的必要位置(静态页面登录?),ruby-on-rails,ruby-on-rails-3,security,csrf,Ruby On Rails,Ruby On Rails 3,Security,Csrf,我一直在努力弄清楚我是否可以在我的静态主页上有一个登录表单。我想有一些静态页面,这将是伟大的有一个登录表单上。我花了一些时间来熟悉使用form_标记生成的authenticity_令牌,虽然我意识到我们通常希望检查所有未收到请求的请求,但我觉得可能会将其保留在登录中,因为在用户登录之前,我们不信任他们。如果恶意站点试图在此时使用CSRF,则需要知道用户在哪一点受到危害的登录名和密码 我绝对不想在我的应用程序中打开任何安全漏洞,我感谢rails为保持此功能所做的一切,但在这种情况下,我认为我可以只
我绝对不想在我的应用程序中打开任何安全漏洞,我感谢rails为保持此功能所做的一切,但在这种情况下,我认为我可以只提交一个没有令牌的表单吗?令牌的目的是,除非数据直接来自该表单,否则无法轻松进入您的系统。当用户访问站点时,他们会得到一个与表单中的令牌匹配的cookie。提交表单时,这些标记必须匹配 如果有人可以从表单外部提交数据,您就打开了脚本进行连续登录尝试的可能性。编写能够自动访问您的站点、获取cookie和使用表单登录的内容是相当容易的,但这肯定需要更多的工作。可以将其视为在不影响用户的情况下可以拥有的另一层安全性