rails中的csrf保护

最新推荐文章于 2022-10-10 19:14:39 发布
最新推荐文章于 2022-10-10 19:14:39 发布
阅读量1k 收藏
点赞数
分类专栏: ruby 文章标签: csrf rails token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuyingjian/article/details/7453718
版权
rails中的csrf保护实际上是这样的
如果csrf验证没通过会调用一个方法 
def verify_authenticity_token
  unless verified_request?
    logger.warn "WARNING: Can't verify CSRF token authenticity" if logger
    handle_unverified_request
  end
end

而handle_unverified_request这个方法是 
def handle_unverified_request
  reset_session
end

也就是说 如果csrf验证没过 它只是清除了cookie 通过这个方法使攻击者无法再利用cookie继续进一步的操作
但是对于cookie无关的操作 csrf没什么用
 
不过说到底csrf攻击主要还是跨站利用cookie 不需要cookie认证的操作 csrf自然是不需要保护的

yuyingjian
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[渗透测试笔记] 12.csrf漏洞
H4ppyD0g的博客
10-04 445
CSRFCSRF跨站点请求伪造(Cross—Site Request Forgery),是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并进行一些操作(如发邮件,发消息,甚至财产操作)。由于攻击者盗用了受害者的身份,以受害者的名义发送恶意请求,所以对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的操作。 一张盗图完美解释csrf攻击流程 示例(以get请求c...
rails ajax and csrf
xiaohesong
10-17 591
1. html 2. js var csrf = $("input#this id").val(); headers: {           'X-CSRF-Token': csrf         } # the headers set in ajax
Ruby的csrf_meta_tag
Ruby on Rails自学乐园
09-09 217
    在Ruby布局文件的head标签之间加入这么一行<%= csrf_meta_tag %>,可以起到防止跨站点请求的外部攻击的作用。       在页面执行后,它会给html页面添加类似如下两行的代码:       <meta content="authenticity_token" name="csrf-param" />    <meta con...
rails开启了csrf防御如何使用jquery的ajax请求
一位热爱程序的高中电脑老师
04-12 1636
$.ajaxSetup({ beforeSend: function(xhr) { xhr.setRequestHeader("X-CSRF-Token", $("meta[name=\"csrf-token\"]").attr("content")); } }); 其实这个设置是多余的,因为翻一下jquery_ujs 也即时rails.js的源码你会发现:
Can’t verify CSRF token authenticit
ashly和别人不一样呀
03-10 678
Can’t verify CSRF token authenticity. Completed 422 Unprocessable EntityParameters: {“signup_email”=>“987987”, “signup_password”=>"[FILTERED]"} 关于传递一些加密数据的问题 skip_before_action :verify_authenticity_token
ng-rails-csrf:of-rails-csrf
06-14
如果您使用 CSRF 保护Rails 将不会接受没有此令牌的请求。安装将此行添加到应用程序的 Gemfile : gem 'ng-rails-csrf'然后执行: $ bundle在您的模块定义,包含“ng-rails-csrf”模块 var module = angular....
angular_rails_csrf:用于AngularJS样式CSRF保护Rails集成
05-01
AngularJS样式的CSRF Rails保护 AngularJS 服务具有内置的CSRF保护。 默认情况下,它将查找名为XSRF-TOKENcookie,如果找到它,则将其值写入X-XSRF-TOKEN标头,服务器会将其与用户会话保存的CSRF令牌进行比较...
omniauth-rails_csrf_protection:在Rails应用程序的OmniAuth请求端点上提供CSRF保护
05-10
OmniAuth-Rails CSRF保护该gem通过实现直接使用Rails的ActionController::RequestForgeryProtection代码的CSRF令牌验证程序,缓解了 (在将OmniAuth gem与Ruby on Rails应用程序结合使用时在请求阶段进行跨站点请求...
angular_rails_csrf, 面向AngularJS的Rails 集成风格的CSRF保护.zip
10-10
angular_rails_csrf, 面向AngularJS的Rails 集成风格的CSRF保护 angularjs对 RailsCSRF保护 AngularJS的 $http服务已经构建了CSRF保护。 默认情况下,它查找名为 XSRF-TOKENcookie,如果发现,将它的值写入 X-...
angular_rails_csrf-源码.rar
10-10
3. 配置文件:可能包括Rails的`config/application.rb`或`config/initializers/csrf.rb`,以及Angular的配置文件,展示了如何启用和配置CSRF保护。 4. 测试用例:为了确保CSRF防护功能的正确性,可能会有单元测试和...
配置仓库邮箱时的邮箱验证问题
最新发布
HVENLY的博客
10-10 1219
最近在配置仓库邮箱进行验证时遇到个问题,这个问题是由于邮箱有自己的安全连接检测导致的,当鼠标悬停链接时会触发一个请求,这样验证链接就失效了。
防止CSRF攻击与protect_from_forgery
qwbtc的博客
05-12 2812
CSRF(Cross-Site Request Forgery)是一种常见的攻击手段,Rails下面的代码帮助我们的应用来阻止CSRF攻击。 class ApplicationController ActionController::Base # Prevent CSRF attacks by raising an exception. # For APIs, you may wan
rails和js 进行json格式数据,post交互
yylcym的博客
01-24 451
这里使用rails版本为 4.0.0 windows平台 前台js执行post请求的函数为: function get_data(){ json={ user_id:1 } $.ajax({ type: "POST", url: "say/get_data", data: j...
422 Unprocessable Entity
热门推荐
倒骑驴走着瞧的博客
04-04 1万+
问题原因: 登录成功后获取到的token只缓存到内存,并没有序列化到本地;这种情况下内存回收token丢失后,访问接口就没有传递token才导致的422 Unprocessable Entity; The HyperText Transfer Protocol (HTTP) 422 Unprocessable Entity response status code indicates that ...
ruby on rails搭建的博客网站结合github的webhook实现自动更新网站
include_heqile的博客
03-02 518
参考文章 github webhook的设置: 参考文章的网站是使用php搭建的,而我们的是使用ruby on rails框架搭建的 首先创建路由以及对应的控制器、action和view 编辑config/routes.rb,增加如下内容post 'githook/go',注意,这里的HTTP请求方式是post,因为到时候github向我们网站发送请求的时就是以post方式发送的 根据githu...
rails 实现登录和注册功能
eric的博客
03-02 2399
用户注册需要user这个model, user控制器控制用户的注册功能,session控制器控制用户的登录功能,welcome控制器控制用户登录和退出的跳转,为了表单友好,增加bootstrap样式
csrf攻击原理及防范
小小臭臭的博客
06-05 4608
        CSRF 全拼为 Cross Site Request Forgery, 跨站请求伪造.CSRF指的是攻击者盗用了你的身份,以你的名义发送恶意的请求,给你造成个人隐私泄露及财产安全.        CSRF攻击的原理:        ①用户正常登录A银行网站,        ②A网站返回cookie信息给用户,浏览器保存cookie信息        ③在A网站没有退出登录的情况下...
基于spring security的简易用户身份认定(基于xml)
wyccyw123456的专栏
06-30 7699
web.xml <!DOCTYPE web-app PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN" "http://java.sun.com/dtd/web-app_2_3.dtd" > Archetype Created Web Application springSecurityFilt
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值