我在Rails应用中有关于protect_from_forgery的问题。 我在我的rails项目中使用Devise,最近出现了一个关于我一直使用的版本的安全问题,即Devise的2.1.2。 我已经从2.1.2更新到2.1.3并使用Rails 3.2.12
所以我尝试更新它,但在更新后我一直收到401并且无法再登录了。
现在我向社区提出问题,为了让登录过程再次工作,我需要从application_controller中删除protect_from_forgery,一切正常。
但是我想知道我是否删除了这个没有引入任何其他安全漏洞? 要使用该应用程序,您必须先登录才能执行任何操作。所以我假设一个XSS不会影响我的应用程序或做到了吗?
期待获得一些反馈。
答案 0 :(得分:0)
似乎您使用自定义表单进行登录,而不是使用由rails表单助手生成的设计或表单中的默认表单。
如果邮寄请求没有真实性令牌,则可能会发生此类问题。
对于自定义表单,您需要将真实性标记添加为隐藏参数。