Wann verify_authenticity_token zu überspringen ist

8

Warum würden Nutzer die Überprüfung überspringen und die Sicherheitslücke ihrer App erhöhen? Ist es vorteilhaft, sie auf Seiten zu deaktivieren, die nur GET-Anfragen haben? Vielen Dank im Voraus.

    
Steve 24.02.2012, 23:05
quelle

2 Antworten

4

CRSF-Prüfung wird bereits für GET-Anforderung in Schienen

übersprungen

Ссылка

  

3.1 CSRF Gegenmaßnahmen        - Verwenden Sie, wie vom W3C gefordert, GET und POST entsprechend. Zweitens schützt ein Sicherheitstoken in Nicht-GET-Anfragen Ihre Anwendung vor CSRF.

Sie können die Methode auch selbst sehen.

Ссылка

%Vor%     
user1027503 25.02.2012, 00:39
quelle
1

Wenn Sie eine domänenübergreifende Anwendung haben, könnten Sie Fehler bei der Authtoken-Überprüfung haben und Sie können sie deaktivieren, aber Ihre Anwendung wird natürlich nicht sicher sein. In Schienen 3 gibt es spezielle Methoden für Cross-Domain-Lösung in Out-of-Box

    
ka8725 24.02.2012 23:37
quelle

Tags und Links

Django: Verwenden von Annotate, Count und Distinct in einem Queryset Wie man Multitenancy innerhalb einer mvc 3 Anwendung mit ravendb einrichtet