1
我對Rails應用程序中的protect_from_forgery有個疑問。 我在我的Rails項目中使用Devise,最近一個安全問題已經解決了我一直在使用的版本,即Devise的2.1.2。 我已經從2.1.2更新到2.1.3,並使用Rails 3.2.12刪除protect_from_forgery
所以我試圖更新它,但更新後,我一直得到一個401,無法再登錄。
現在我的問題到社區,使登錄過程再次工作我需要從我的application_controller中刪除protect_from_forgery和一切正常工作。
但我想知道如果我通過刪除這個沒有引入任何其他安全漏洞? 要使用該應用,您必須先登錄,然後才能做任何事情。所以我假設一個XSS不會影響我的應用程序或做到這一點?
期待獲得一些反饋。