ruby-on-rails - protect_from_forgery - invalidauthenticitytoken rails 5

''protect_from_forgery'' en Application controller en Rails (3)

Esta es una función de rieles incorporada para prevenir ataques csrf,

Aprenda más de este enlace,

http://railskey.wordpress.com/2012/07/02/rails-protect_from_forgery/

El ataque de secuencias de comandos entre sitios se evita al agregar el token de autenticación al campo de formulario como campo oculto. En la solicitud posterior, el token coincide con el almacenado en la base de datos.

En el archivo config/application_controller.rb en mi directorio de aplicaciones de Rails, encontré el siguiente código:

class ApplicationController < ActionController::Base protect_from_forgery end

¿Puede alguien decirme qué significa project_from_forgery y por qué se está utilizando?

Protege de csrf. Por ejemplo, todas las solicitudes POST deben tener un token de seguridad específico.

http://en.wikipedia.org/wiki/Cross-site_request_forgery

http://guides.rubyonrails.org/security.html#cross-site-request-forgery-csrf

protect_from_forgery : una función en Rails que protege contra ataques de falsificación de solicitudes entre sitios (CSRF).

Esta característica hace que todos los formularios generados tengan un campo de id oculto. Este campo de id debe coincidir con la id almacenada o el envío del formulario no se acepta.

Esto evita que los formularios maliciosos en otros sitios o formularios insertados con XSS se envíen a la aplicación Rails.