第七色在线视频,2021少妇久久久久久久久久,亚洲欧洲精品成人久久av18,亚洲国产精品特色大片观看完整版,孙宇晨将参加特朗普的晚宴

為了賬號(hào)安全,請(qǐng)及時(shí)綁定郵箱和手機(jī)立即綁定
已解決430363個(gè)問(wèn)題,去搜搜看,總會(huì)有你想問(wèn)的

理解Rails的真實(shí)性令牌

理解Rails的真實(shí)性令牌

慕慕森 2019-06-27 15:54:30
理解Rails的真實(shí)性令牌我在Rails中遇到了一些關(guān)于真實(shí)性令牌的問(wèn)題,因?yàn)槲椰F(xiàn)在已經(jīng)有很多次了。但我真的不想只解決這個(gè)問(wèn)題繼續(xù)下去。我真的很想了解真?zhèn)螛?biāo)記。好吧,我的問(wèn)題是,你是否有關(guān)于這個(gè)問(wèn)題的完整的信息來(lái)源,或者你是否會(huì)花時(shí)間在這里詳細(xì)解釋?zhuān)?
查看完整描述

3 回答

?
蝴蝶刀刀

TA貢獻(xiàn)1801條經(jīng)驗(yàn) 獲得超8個(gè)贊

什么是CSRF?

真實(shí)性令牌是針對(duì)跨站點(diǎn)請(qǐng)求偽造(CSRF)的一種對(duì)策.你問(wèn)什么是CSRF?

攻擊者可以在不知道會(huì)話(huà)令牌的情況下劫持會(huì)話(huà)。

假想:

  • 訪(fǎng)問(wèn)你銀行的網(wǎng)站,登錄。
  • 然后訪(fǎng)問(wèn)攻擊者的站點(diǎn)(例如,來(lái)自不受信任組織的贊助廣告)。
  • 攻擊者的頁(yè)面包括與銀行“轉(zhuǎn)移資金”表單相同字段的表單。
  • 攻擊者知道您的帳戶(hù)信息,并有預(yù)先填寫(xiě)的表單字段,以將資金從您的帳戶(hù)轉(zhuǎn)移到攻擊者的帳戶(hù)。
  • 攻擊者的頁(yè)面包括向銀行提交表單的Javascript。
  • 當(dāng)表單提交時(shí),瀏覽器將包含銀行站點(diǎn)的cookie,包括會(huì)話(huà)令牌。
  • 銀行把錢(qián)轉(zhuǎn)到攻擊者的賬戶(hù)上。
  • 表單可以是不可見(jiàn)的iframe,所以您永遠(yuǎn)不知道攻擊發(fā)生了。
  • 這被稱(chēng)為跨站點(diǎn)請(qǐng)求偽造(CSRF)。

CSRF溶液:

  • 服務(wù)器可以標(biāo)記來(lái)自服務(wù)器本身的表單。
  • 每個(gè)表單必須包含一個(gè)附加的身份驗(yàn)證令牌作為隱藏字段。
  • 令牌必須不可預(yù)測(cè)(攻擊者無(wú)法猜測(cè))。
  • 服務(wù)器在其頁(yè)面中的窗體中提供有效的令牌。
  • 當(dāng)表單發(fā)布時(shí),服務(wù)器檢查令牌,拒絕沒(méi)有正確令牌的表單。
  • 示例令牌:使用服務(wù)器密鑰加密的會(huì)話(huà)標(biāo)識(shí)符。
  • Rails會(huì)自動(dòng)生成這樣的令牌:請(qǐng)參見(jiàn)每種形式中的RETURY_TOKEN輸入字段。


查看完整回答
反對(duì) 回復(fù) 2019-06-27
  • 3 回答
  • 0 關(guān)注
  • 613 瀏覽

添加回答

舉報(bào)

0/150
提交
取消
微信客服

購(gòu)課補(bǔ)貼
聯(lián)系客服咨詢(xún)優(yōu)惠詳情

 幫助反饋 APP下載

慕課網(wǎng)APP
您的移動(dòng)學(xué)習(xí)伙伴

 公眾號(hào)

掃描二維碼
關(guān)注慕課網(wǎng)微信公眾號(hào)