0
在Rails中,使用設計,如果一個CSRF檢查失敗,那麼用戶的當前會話被清除,即註銷用戶,因爲服務器認爲它是一個攻擊(這是正確的/期望的行爲)。 但是請求已完成,因此用戶記錄仍然被創建。黑客可以正確登錄。 如何才能停止方法繼續一旦設計實現auth_token不正確?後CSRF檢查,設計仍然運行全功能
A
回答
0
設計不會對auth令牌進行任何檢查 - 它是這樣做的動作控制器(儘管它在您的控制器上調用handle_unverified_request以便您可以自定義行爲)。在軌道4和更高的你還可以指定默認情況下會發生什麼時,身份驗證令牌無效:
protect_from_forgery with: :exception
會導致拋出一個異常,這將停止處理請求。
然而,我不確定這是什麼購買你 - CSRF是這樣的,攻擊者不能濫用用戶已經登錄到你的應用程序的事實,但如果攻擊者擁有一組有效的證書,那麼他們不會首先需要做CSRF。
相關問題
- 1. 功能仍然運行後返回
- 2. 檢查文本是否存在,然後運行功能
- 3. 查詢在完成後仍然運行
- 4. 檢查設備是否是iPad然後停止正在運行的jQuery功能
- 5. jQuery - 功能仍然運行在課後刪除元素
- 6. 如何檢查php郵件功能是否成功,然後運行javascript代碼?
- 7. 的PostgreSQL如何檢查是否我的功能仍在運行
- 8. 即使設置爲undefined後功能仍會繼續運行
- 9. 角運行功能,然後申請
- 10. 如何停止倒計時功能然後運行
- 11. 檢測iFrame上的活動,然後運行功能
- 12. 檢查功能是否完全執行
- 13. 檢查包含使用jQuery的警報,然後根據內容運行功能
- 14. 檢查是否設置了變量,然後相應地執行該功能
- 15. 程序在System.exit後仍然運行
- 16. 緩存後,rails4仍然運行
- 17. AsyncTask仍然在方法(.cancel)後運行
- 18. InDestroy onHandleIntent()仍然在onDestroy()後運行
- 19. 聲音仍然運行後釋放UIWebView
- 20. VBScript - 檢查mailItem是否仍然可行
- 21. modalViewController仍然設置後dismissModalViewController
- 22. F#:仍然不能爲通用功能
- 23. Log4J仍然運行Log4j2
- 24. Bolt \ Controller \ Backend \ Records中仍然禁用CSRF令牌功能::編輯BOLT CMS
- 25. 當我使用rvm implode卸載rvm後,它仍然功能齊全
- 26. 如何檢查哪些功能運行以及何時運行?
- 27. 運行時檢查失敗#0運行的功能
- 28. 運行功能後.append
- 29. 檢查std :: thread是否仍在運行
- 30. 如何檢查AVAudioPlayer仍在運行?
完美,非常感謝。我只是想在用戶做出奇怪的事情時發生異常 –