第七色在线视频,2021少妇久久久久久久久久,亚洲欧洲精品成人久久av18,亚洲国产精品特色大片观看完整版,孙宇晨将参加特朗普的晚宴

為了賬號安全,請及時(shí)綁定郵箱和手機(jī)立即綁定
已解決430363個問題,去搜搜看,總會有你想問的

理解Rails的真實(shí)性令牌

理解Rails的真實(shí)性令牌

慕慕森 2019-06-27 15:54:30
理解Rails的真實(shí)性令牌我在Rails中遇到了一些關(guān)于真實(shí)性令牌的問題,因?yàn)槲椰F(xiàn)在已經(jīng)有很多次了。但我真的不想只解決這個問題繼續(xù)下去。我真的很想了解真?zhèn)螛?biāo)記。好吧,我的問題是,你是否有關(guān)于這個問題的完整的信息來源,或者你是否會花時(shí)間在這里詳細(xì)解釋?
查看完整描述

3 回答

?
蝴蝶刀刀

TA貢獻(xiàn)1801條經(jīng)驗(yàn) 獲得超8個贊

什么是CSRF?

真實(shí)性令牌是針對跨站點(diǎn)請求偽造(CSRF)的一種對策.你問什么是CSRF?

攻擊者可以在不知道會話令牌的情況下劫持會話。

假想:

  • 訪問你銀行的網(wǎng)站,登錄。
  • 然后訪問攻擊者的站點(diǎn)(例如,來自不受信任組織的贊助廣告)。
  • 攻擊者的頁面包括與銀行“轉(zhuǎn)移資金”表單相同字段的表單。
  • 攻擊者知道您的帳戶信息,并有預(yù)先填寫的表單字段,以將資金從您的帳戶轉(zhuǎn)移到攻擊者的帳戶。
  • 攻擊者的頁面包括向銀行提交表單的Javascript。
  • 當(dāng)表單提交時(shí),瀏覽器將包含銀行站點(diǎn)的cookie,包括會話令牌。
  • 銀行把錢轉(zhuǎn)到攻擊者的賬戶上。
  • 表單可以是不可見的iframe,所以您永遠(yuǎn)不知道攻擊發(fā)生了。
  • 這被稱為跨站點(diǎn)請求偽造(CSRF)。

CSRF溶液:

  • 服務(wù)器可以標(biāo)記來自服務(wù)器本身的表單。
  • 每個表單必須包含一個附加的身份驗(yàn)證令牌作為隱藏字段。
  • 令牌必須不可預(yù)測(攻擊者無法猜測)。
  • 服務(wù)器在其頁面中的窗體中提供有效的令牌。
  • 當(dāng)表單發(fā)布時(shí),服務(wù)器檢查令牌,拒絕沒有正確令牌的表單。
  • 示例令牌:使用服務(wù)器密鑰加密的會話標(biāo)識符。
  • Rails會自動生成這樣的令牌:請參見每種形式中的RETURY_TOKEN輸入字段。


查看完整回答
反對 回復(fù) 2019-06-27
  • 3 回答
  • 0 關(guān)注
  • 605 瀏覽

添加回答

舉報(bào)

0/150
提交
取消
微信客服

購課補(bǔ)貼
聯(lián)系客服咨詢優(yōu)惠詳情

 幫助反饋 APP下載

慕課網(wǎng)APP
您的移動學(xué)習(xí)伙伴

 公眾號

掃描二維碼
關(guān)注慕課網(wǎng)微信公眾號