RESTful应用程序中的XSRF
我是一名ASP.NET开发人员,试图学习Rails和RESTful方法。 为了理解,我打算编写一个电子邮件客户端,它将对服务器进行RESTful GET调用以获取电子邮件,并发送POST以发送电子邮件。
要遵循哪些最佳实践(通用和/或特定于Rails),以便上述应用程序不会暴露任何XSRF漏洞。
Ruby on Rails安全项目有一个很好的post。
从本质上讲,Rails 2.0及更高版本具有针对XSRF攻击的内置保护。 通过表单助手创建的每个表单都包含一个隐藏字段,其中包含一个特殊标记。 每次收到POST(或非GET)时,都会根据服务器上的密码检查令牌。 如果它们不匹配,则抛出安全性exception并忽略该请求。
阅读文章。 他们在解释它方面做得更好。