[英]Why doen't Rails check 'GET' request with csrf_token?
我認為,如果使用csrf_token檢查了“ GET”請求,rails會阻止某人進行劫持會話和修復。 我認為,如果令牌不匹配,則必須刪除會話,但不能重置。 我對嗎?
不,獲取請求不應修改服務器上的任何數據,它只是獲取一些信息,因此這是一種安全的操作,無需令牌驗證。
request.session ['_ csrf_token']和元標記csrf_token不匹配
[英]request.session['_csrf_token'] and meta tag csrf_token doesn't match
為什么我的用戶的X-CSRF-Token標頭與會話中的_csrf_token不同?
[英]Why is my user's X-CSRF-Token header different form the _csrf_token in the session?
session [:_ csrf_token]與rails 4.2.1中的csrf_meta_tags不同
[英]session[:_csrf_token] not same as csrf_meta_tags in rails 4.2.1
GET請求(無JSON)無法在Rails 4.1上使用Devise 3.2.4驗證CSRF令牌的真實性
[英]GET request (no JSON) Can't verify CSRF token authenticity with Devise 3.2.4 on Rails 4.1
Rails form_authenticity_token不返回任何會話[:_ csrf_token]返回實際令牌
[英]Rails form_authenticity_token returns nothing session[:_csrf_token] returns the actual token
無法在跨平台請求的軌道上驗證CSRF令牌的真實性
[英]Can't verify CSRF token authenticity on rails for cross platform request
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
