XSRF in einer RESTful Anwendung
https://stackoverflow.com/questions/253327
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich bin ein ASP.NET Entwickler Rails und RESTful Ansatz versuchen zu lernen. Um zu verstehen, ich plane, einen E-Mail-Client zu schreiben, der RESTful GET Aufruf an den Server würde die E-Mails und POST zu holen E-Mail senden.
Was sind die besten Praktiken (generisch und / oder spezifisch für Rails) gefolgt werden, so dass die obige Anmeldung ist keine XSRF Anfälligkeiten nicht ausgesetzt wird.
Lösung
Die Ruby on Rails Security Project hat einen guten Beitrag zu diesem Thema.
Im Wesentlichen Rails 2.0 und höher haben einen eingebauten Schutz für XSRF Angriffe. Jede Form über den Formular-Helfer erstellt wird, umfasst ein verstecktes Feld mit einem speziellen Zeichen darin. Jedes Mal, wenn ein POST (oder Nicht-GET) empfangen wird, wird das Token vor einem Geheimnis auf dem Server überprüft. Wenn sie nicht übereinstimmen, wird eine Sicherheitsausnahme ausgelöst und die Anforderung ignoriert.
Lesen Sie den Artikel. Sie machen einen besseren Job es zu erklären.
