ruby-on-rails - protect_from_forgery - invalidauthenticitytoken rails 5
''protect_from_forgery'' en Application controller en Rails (3)
Esta es una función de rieles incorporada para prevenir ataques csrf,
Aprenda más de este enlace,
http://railskey.wordpress.com/2012/07/02/rails-protect_from_forgery/
El ataque de secuencias de comandos entre sitios se evita al agregar el token de autenticación al campo de formulario como campo oculto. En la solicitud posterior, el token coincide con el almacenado en la base de datos.
En el archivo config/application_controller.rb
en mi directorio de aplicaciones de Rails, encontré el siguiente código:
class ApplicationController < ActionController::Base
protect_from_forgery
end
¿Puede alguien decirme qué significa project_from_forgery
y por qué se está utilizando?
Protege de csrf. Por ejemplo, todas las solicitudes POST deben tener un token de seguridad específico.
http://en.wikipedia.org/wiki/Cross-site_request_forgery
http://guides.rubyonrails.org/security.html#cross-site-request-forgery-csrf
protect_from_forgery
: una función en Rails que protege contra ataques de falsificación de solicitudes entre sitios (CSRF).
Esta característica hace que todos los formularios generados tengan un campo de id
oculto. Este campo de id
debe coincidir con la id
almacenada o el envío del formulario no se acepta.
Esto evita que los formularios maliciosos en otros sitios o formularios insertados con XSS se envíen a la aplicación Rails.