Ruby on rails 何时使用/不使用防止伪造
我知道如何启用/禁用真实性令牌验证,但我不知道何时启用它才有意义 例如,在rails应用程序中,我了解的是以下内容。如果我弄错了,请告诉我 网站:Ruby on rails 何时使用/不使用防止伪造,ruby-on-rails,json,authentication,antiforgerytoken,Ruby On Rails,Json,Authentication,Antiforgerytoken,我知道如何启用/禁用真实性令牌验证,但我不知道何时启用它才有意义 例如,在rails应用程序中,我了解的是以下内容。如果我弄错了,请告诉我 网站: 公共页面(未标记)应启用真实性令牌验证 身份验证页面(登录、注册、丢失密码…)应启用真实性令牌验证 私人页面(已登录)不需要启用真实性令牌验证 Api: 公共api(未标记、JSON访问)应支持真实性令牌验证 身份验证api(登录、注册、丢失密码…、JSON访问)应启用真实性令牌验证 私有api(登录、JSON访问)不需要启用真实性令牌验证 私
- 公共页面(未标记)应启用真实性令牌验证
- 身份验证页面(登录、注册、丢失密码…)应启用真实性令牌验证
- 私人页面(已登录)不需要启用真实性令牌验证
- 公共api(未标记、JSON访问)应支持真实性令牌验证
- 身份验证api(登录、注册、丢失密码…、JSON访问)应启用真实性令牌验证
- 私有api(登录、JSON访问)不需要启用真实性令牌验证
- 私人页面不需要启用CSRF保护是不正确的。对用户进行身份验证的私有页面是易受攻击的页面。在这种攻击中,登录的用户被欺骗(例如,通过单击电子邮件中的链接)采取他们不打算采取的行动,而网站接受这种行为,因为它来自具有有效会话的登录用户<代码>保护\u免受伪造通过确保非
获取