2回答
我正在使用一个遗留的rails应用程序,我正在尝试清理一些CSRF漏洞。如果我从表单中删除隐藏的CSRF字段,我仍然可以成功提交表单。唯一的错误指示是日志中的警告:WARNING: Can't verify CSRF token authenticity。有一些页面,protect_from_forgery将捕获请求,如果没有csrf令牌,应用程序将崩溃,但其命中和未命中取决于页面:例如。登录页面在没有令牌的情况下可以工作,但更新用户页面不能
浏览 16提问于2020-03-25得票数 3
回答已采纳
auth_token=whatever”的请求我真的不明白这是怎么回事,因为我相信我在每个ajax请求中正确地发送了X令牌
浏览 2提问于2012-10-24得票数 5
在我使用ActionController::InvalidAuthenticityToken的应用程序上有随机的CSRF错误。比如,每100个请求中就有一个或更多。为什么这些错误会像这样随机出现?我在一些常规的<%= form_with %>标签上得到了它们,一些在javascript post上(但它在大多数时候都有效,因为我每次都把meta[name='csrf-token']添加为X-CSRF-TOKEN
浏览 36提问于2019-07-04得票数 2
我正在尝试从iOS上的Phonegap应用程序向rails Restful API发送登录请求。有人知道为什么会这样吗?
浏览 1提问于2011-04-18得票数 0
回答已采纳
在Rails应用程序中使用remote:true用于AJAX实现时,可能存在安全问题吗?我是一个学习Rails的学生,我开始好奇为什么有些人(我们的老师)反对在Rails中使用"remote: true“特性,并提到了安全方面的原因。
浏览 3提问于2017-11-22得票数 2
回答已采纳
在我的Rails应用程序目录中的config/application_controller.rb文件中,我找到了以下代码:
class ApplicationController < ActionController
浏览 4提问于2012-12-13得票数 19
回答已采纳
我用的是rails 4.2和ruby 2.3.1
浏览 1提问于2017-03-30得票数 0
回答已采纳
如果我在表单中设置了remote: true,authenticity_token就会消失。我必须在我的表单中添加authenticity_token: true?那么缓存呢?如果我缓存表单,我必须添加authenticity_token: true?authenticity_token被缓存是一个问题吗?谢谢
浏览 8提问于2019-10-31得票数 0
4回答
单页应用与CSRF令牌
、、、、
我需要使用一个单一的页面应用程序(反应,Ember,角,我不在乎)与Rails CSRF保护机制。:set_csrf_cookie
cookies["X-CSRF-Token"] = form_authenticity_token或我可以只创建一个令牌一次。我认为在会话有效之前,令牌仍然有效,对吗?每次浏览页面时,我都会看到Rails默认应用程序(服务
浏览 0提问于2018-05-03得票数 14
在我们的Rails应用程序中,用户一次打开多个浏览器选项卡几个小时或几天是很常见的。当在其中一个选项卡中,用户注销然后重新登录(或者会话到期并创建新会话)时,就会出现问题。这会导致所有其他选项卡上的CSRF身份验证令牌无效。如果他们试图在不刷新的情况下提交任何表单或在这些选项卡上发出任何ajax请求,他们将得到一个错误(实际上会被注销,因为这是传递不正确的身份验证令牌时的默认Rails行为)。
这种行为显然是不可取的。我想知道人们如何优雅地处理这样的情况,即用户打开了您的网站的窗口,但真
浏览 0提问于2012-05-05得票数 7
回答已采纳
我想我可以调整curl命令来登录,然后提交/请求数据,但效果不太好。cjar --data "<root_node></root_node>" localhost:3000/my_update_methodWARNING: Can't verify CSRF我发现了一些相关的帖子,让我认为这部分与设计有关,部分与Rails进行的自动身份验证有关。%3D%3D--d90722b6da386630b33f
浏览 3提问于2013-10-15得票数 2
回答已采纳
我从rails站点向自己发送AJAX请求(从javascript发送到控制器)。Rails拒绝允许发布,除非我提供了一个真实性令牌,所以我添加了一个和我意识到我并没有给出太多的线索,但是在一种情况下,什么能导致真实性标记被接受,而在另一种情况下被拒绝呢?
浏览 6提问于2015-06-19得票数 1
回答已采纳
1回答
我只想澄清我对Rails中CSRF攻击的理解。
假设我们有一个注册为mainsite.com的用户Peter。当他遇到一个“喜欢”页面(作为表单实现)按钮时,Rails生成一个auth令牌,该令牌存储在会话(服务器端)中,也存储在表单本身中。Peter按下"like",一切都很好,因为令牌与匹配。当Peter运行到此表单时,不存在auth令牌,因此它与存储在Rails中的auth令牌不匹配。即使存在生成auth<e
浏览 2提问于2015-07-01得票数 0
我们的Rails 3应用程序中有一些页面生成两组CSRF令牌:一个在页面头中使用csrf_meta_tag,另一个在自动生成的表单中。我们的再培训局是这样的:<html> <%= csrf_meta_tag %> <%# Generates CSRF tokens %> <body>
浏览 2提问于2014-06-18得票数 1
回答已采纳
我们的错误日志偶尔包含导致ActionController::InvalidAuthenticityToken错误的合法表单提交。我的假设是,存储在用户会话cookie中的CSRF令牌在加载表单之后但在提交之前已经发生了更改。这会导致POSTed令牌与cookie中的令牌不匹配,从而导致此错误。如果Rails会话cookie仅在浏览会话结束时(即当web浏览器关闭时)到期,那么在不关闭浏览器的情况下,如何更改此cookie (及其包含的CSRF
浏览 11提问于2017-01-05得票数 10
回答已采纳
如果我没记错的话,github是基于Rails构建的。因此,这个名称与Rails CSRF保护机构的默认名称相匹配,这就合适了。此外,令牌有64个字节长,这与Rails蒙面CSRF令牌方法的长度相匹配。代币附在下列表格上:令牌2:更新配置文件按钮如果重新加载页面,则所有三个标记的值都会发生变化。
让我们考虑一个后续的帖子,更新我的个人资料。如果
浏览 0提问于2015-10-19得票数 8
我有一个应用程序,它使用Rails并作出反应。rails中的AJAX可以正常工作,但是我有一些使用AJAX的组件,这些组件通过React组件在AJAX请求中发生错误。令牌,将其添加到我的main.js中。$.ajaxSetup({ $('meta[name="csrf-token或者,我还尝试将CSRF令
浏览 4提问于2017-10-17得票数 0
在阅读了关于CSRF保护在Rails中如何工作的文章之后,我尝试通过这样做来触发CSRF保护:
提交登录凭据。我预计这会失败,因为第二个选项卡生成了一个新的、不同的CSRF令牌
浏览 0提问于2017-12-08得票数 20
回答已采纳
CSRF令牌错误(无法验证CSRF令牌的真实性)。如果在转换页上使用turbolinks执行后传输,则会发生。我该怎么解决呢?是因为标头的csrf令牌与表单的csrf令牌不同吗?我用以下方法解决了这个问题,但你觉得呢?$(document).on('turbolinks:load', functio
浏览 1提问于2019-03-07得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
云直播活动推荐
腾讯云开发者
