В Rails, используя программу, если CSRF Check не работает, текущий сеанс пользователя очищается, т. Е. Регистрирует пользователя, потому что сервер предполагает, что это атака (что является правильным/желаемое поведение). Но запрос завершен, поэтому запись пользователя все еще создана. Затем Хакер может войти в систему правильно. Как я могу остановить метод от продолжения, как только разработчик осознает, что auth_token неверен?Сообщение CSRF check, deves все еще выполняет полную функцию
0
A
ответ
0
Devise не проверяет токен auth - это контроллер действия, который делает это (хотя он вызывает на вашем контроллере handle_unverified_request
, так что вы можете настроить поведение). В рельсах 4 и выше вы можете также указать, что происходит по умолчанию, когда маркер аутентификации недействителен:
protect_from_forgery with: :exception
вызывает исключение воспитываться, что бы остановить запрос обрабатывается.
Однако я не уверен, что это вас покупает. CSRF - это то, что злоумышленник не может злоупотреблять тем фактом, что пользователь уже зарегистрировался в вашем приложении, но если у злоумышленника есть действительный набор учетных данных, необходимо сделать CSRF в первую очередь.
Смежные вопросы
- 1. Jquery check array выполняет функцию
- 2. Django check CSRF token вручную
- 3. Isset все еще не выполняет свою работу
- 4. Выполняет ли прерывание UPDATE все еще данные?
- 5. csrf check in Tornado with AngularJS
- 6. $ .ajax еще не выполняет
- 7. CSRF печенье в Ajax сообщение
- 8. Play Framework 2.5 CSRF check failed ajax
- 9. После редактирования, сообщение все еще не обновляется
- 10. Сообщение об ошибке, но все еще отладка
- 11. Все еще получаю сообщение «ImportError» модуля python
- 12. Как запустить CMD полную функцию
- 13. Python check proccess все еще runnig через его имя
- 14. Python - не выполняет функцию
- 15. Флажок уже отключен CSRF, но у self.errors все еще есть ошибка «csrf_token»: ['CSRF token missing'] "
- 16. Ajax.BeginForm выполняет полную обратную передачу вместо частичной
- 17. после удаления кнопки атрибута все еще выполняет действия в jQuery
- 18. Конструктор выполняет, но члены все еще не имеют значения?
- 19. Почему этот быстрый код все еще выполняет сеанс?
- 20. AuthComponent userModel все еще выполняет Вход в систему
- 21. Pthread не выполняет функцию
- 22. ProGuard Еще Отображает полную активность Имя
- 23. cytoscape edgehandles: настроить полную функцию
- 24. Удалить полную функцию в VIM
- 25. Macro не выполняет функцию
- 26. PHP не выполняет функцию
- 27. onClick не выполняет функцию
- 28. CHECK Ограничение на функцию группы?
- 29. Titanium выполняет полную перестройку после Titanium Studio 3.2
- 30. C++ Класс не выполняет функцию
Отлично, большое спасибо. Я просто хотел, чтобы исключение происходило всякий раз, когда пользователь делал что-то странное –