标签: ruby-on-rails security authentication forms-authentication
因为form_authenticity_token用于验证请求,所以在您已经检查用户是否已登录时使用它是否是多余的?
即,form_authenticity_token是否真的只适用于任何人都可以使用的表单,而不是专门为登录用户提供的表单?
答案 0 :(得分:2)
登录会使XSRF攻击更糟,因为它实际上可能会损坏真实数据。以这些为出发点。
XSRF in a RESTful Application
Cross-Site Request Forgeries and You
答案 1 :(得分:0)
否,因为在CSRF攻击中,请求是由经过身份验证的客户端浏览器发送的,可能会删除他的数据。
阅读Ruby on Rails Security Guide section about CSRF。