亚洲在线久爱草,狠狠天天香蕉网,天天搞日日干久草,伊人亚洲日本欧美

<strike id="1vw6h"><rp id="1vw6h"><center id="1vw6h"></center></rp></strike><dfn id="1vw6h"><code id="1vw6h"></code></dfn>

<samp id="1vw6h"><dl id="1vw6h"><nobr id="1vw6h"></nobr></dl></samp>

<menuitem id="1vw6h"><tfoot id="1vw6h"><nobr id="1vw6h"></nobr></tfoot></menuitem>

<fieldset id="1vw6h"></fieldset>

<samp id="1vw6h"><var id="1vw6h"><tbody id="1vw6h"></tbody></var></samp><sup id="1vw6h"><table id="1vw6h"><thead id="1vw6h"></thead></table></sup>

<menu id="1vw6h"></menu>

已解決430363個問題，去搜搜看，總會有你想問的

理解Rails的真實性令牌

關注

首頁猿問理解Rails的真實性令牌

理解Rails的真實性令牌

Ruby

慕慕森 2019-06-27 15:54:30

理解Rails的真實性令牌我在Rails中遇到了一些關于真實性令牌的問題，因為我現在已經有很多次了。但我真的不想只解決這個問題繼續下去。我真的很想了解真偽標記。好吧，我的問題是，你是否有關于這個問題的完整的信息來源，或者你是否會花時間在這里詳細解釋？

查看完整描述

3 回答

蝴蝶刀刀

TA貢獻1801條經驗獲得超8個贊

什么是CSRF？

真實性令牌是針對跨站點請求偽造(CSRF)的一種對策.你問什么是CSRF？

攻擊者可以在不知道會話令牌的情況下劫持會話。

假想:

訪問你銀行的網站，登錄。
然后訪問攻擊者的站點(例如，來自不受信任組織的贊助廣告)。
攻擊者的頁面包括與銀行“轉移資金”表單相同字段的表單。
攻擊者知道您的帳戶信息，并有預先填寫的表單字段，以將資金從您的帳戶轉移到攻擊者的帳戶。
攻擊者的頁面包括向銀行提交表單的Javascript。
當表單提交時，瀏覽器將包含銀行站點的cookie，包括會話令牌。
銀行把錢轉到攻擊者的賬戶上。
表單可以是不可見的iframe，所以您永遠不知道攻擊發生了。
這被稱為跨站點請求偽造(CSRF)。

CSRF溶液:

服務器可以標記來自服務器本身的表單。
每個表單必須包含一個附加的身份驗證令牌作為隱藏字段。
令牌必須不可預測(攻擊者無法猜測)。
服務器在其頁面中的窗體中提供有效的令牌。
當表單發布時，服務器檢查令牌，拒絕沒有正確令牌的表單。
示例令牌：使用服務器密鑰加密的會話標識符。
Rails會自動生成這樣的令牌：請參見每種形式中的RETURY_TOKEN輸入字段。

反對回復 2019-06-27

3 回答
0 關注
606 瀏覽

關注

添加回答

舉報

0/150

提交

取消

購課補貼
聯系客服咨詢優惠詳情

幫助反饋 APP下載

慕課網APP
您的移動學習伙伴

掃描二維碼
關注慕課網微信公眾號

<small id="shatx"><rp id="shatx"></rp></small>

<sup id="shatx"><table id="shatx"></table></sup><td id="shatx"><i id="shatx"></i></td>

<sup id="shatx"><table id="shatx"></table></sup>