个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
28
4
我知道rails默认从rails3提供CSRF保护。
但我的 web 应用程序是单页应用程序,所有通信都依赖于 ajax。
那么,如何在每次调用 ajax 之前从服务器获取 CSRF token ?
或者我能做的就是取消 CSRF 保护,对吧?
注意:我们不使用任何 Rails View 来生成网页,甚至是主页,所以 的解决方案将“<%= csrf_meta_tag %>”放入.html 或.erb 无效 .,我们在一页内使用javascript框架。
我的环境:rails3.2.3、devise2.0.4、dojo1.7.2
最佳答案
我建议你看看 Rails-backbone项目。特别是 backbone_rails_sync.js文件。
它显示了这个 gem 如何将 CSRF token 数据连同您向服务器发出的任何 ajax 请求一起发送。
另外,这里有一些docs by the Django project它为您提供了一个示例,说明如何覆盖默认的 jQuery ajax() 方法以始终发送 CSRF token 。
根据评论更新:
所以你问的是如何在只使用 REST API 并且不以任何方式使用 View /表单时实现 CSRF。
答案是:不包括 CSRF 保护 .
Cross-site request forgery是另一个(恶意)网站复制或模仿请求并伪装成有效用户同时向服务器发送无效数据的一种方式。
仅当用户需要进行身份验证并且身份验证状态保存在缓存中(以在页面 View 之间持续存在)时,这才是问题。如果恶意网站劫持了这个缓存,它可以伪装成这个用户来提交数据,而用户和服务器不会注意到这一点。这就是 CSRF 保护的作用,它将一个特殊的字符串注入(inject)到表单中,该字符串仅对该特定请求有效,并且对于每个其他请求都是唯一的,因此即使 session 被劫持,CSRF 保护也会阻止对服务器。
但是,在您的情况下,您正在使用 HTTP API 调用,因此必须通过使用 Authorization header 发送您的身份验证每个请求。 .这样,凭证永远不会被缓存,也不会被劫持,因此不需要 CSRF 保护。
但是,还有其他方法可以确保您的 RESTful API 是安全的:
关于ruby-on-rails - 如何在发送 Restful POST/PUT API 之前使用 rails3.2.x 获取 CSRF token ,而无需来自服务器端的任何表单/UI?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11192673/
28
4
0
我正在寻找一种使此打印 HTML 代码 fragment 向后兼容旧 Android 版本的简单方法: @TargetApi(Build.VERSION_CODES.KITKAT) private v
我在 GCC 终端 (centos linux) 中为 ATM 项目编译以下 c 和 .h 代码时收到以下错误。请帮忙,因为我是编程新手。 validate_acc.h #ifndef _VALIDA
在写关于 SO 的不同问题的答案时,我制作了这个片段: @import url('https://fonts.googleapis.com/css?family=Shadows+Into+Light'
试图弄清楚我应该如何在 my_div_class 之前放置一个 span 而不是替换所有它。现在它取代了 div,但我不想这样做。我假设它类似于 :before 但不知道如何使用它。 { va
我正在使用选择库 http://github.hubspot.com/select/和 noUiSlider https://refreshless.com/nouislider/ .我面临的问题如下
我是开发新手,独自工作。我正在使用 Xcode 和 git 版本控制。可能我没有适本地组织和做错事,但我通常决定做 promise 只是为了在我破坏一切之前做出安全点。在那一刻,我发现很难恰本地描述我
我想确保在同一个桶和键上读取和写入时,应该更新获取的值,也就是说,应该在对其进行写入操作之后获取它。我怎样才能做到这一点? 我想要的是,如果我更新一个键的值,如果我同时使用不同线程获取值,则更新同一个
我的问题与this有关问题,已经有了答案: yes, there is a happens-before relationship imposed between actionsof the thre
The before and after hook documentation on Relish仅显示 before(:suite) 在 before(:all) 之前调用。 我什么时候应该使用其中
我有 CSV 行,我想在其中检测所有内部双引号,没有文本限定符。这几乎可以正常工作,但我的正则表达式还可以检测双引号后的字符。 CSV 部分: "7580";"Lorem ipsum";"";"Lor
是否可以通过Youtube数据API检查广告是否可以与特定视频一起显示? 我了解contentDetails.licensedContent仅显示视频是否已上传至同一伙伴然后由其声明版权。由于第三者权
考虑一下用漂亮的彩色图表描述的“像素管道” https://developers.google.com/web/fundamentals/performance/rendering/ 我有一个元素(比
在 MVC3 中,我可以轻松地将 jQuery 脚本标签移动到页面底部“_Layout.vbhtml” 但是,在 ASP.NET MVC3 中,当您使用编辑器模板创建 Controller 时,脚手
悬停时内容被替换,但是当鼠标离开元素时我希望它变回来。我该怎么做? $('.img-wrap').hover(function(){ $(this).find('h4').text('Go
已关闭。这个问题是 not reproducible or was caused by typos 。目前不接受答案。 这个问题是由拼写错误或无法再重现的问题引起的。虽然类似的问题可能是 on-top
已关闭。这个问题是 not reproducible or was caused by typos 。目前不接受答案。 这个问题是由拼写错误或无法再重现的问题引起的。虽然类似的问题可能是 on-top
已关闭。此问题不符合Stack Overflow guidelines 。目前不接受答案。 已关闭 9 年前。 有关您编写的代码问题的问题必须在问题本身中描述具体问题 - 并包含有效代码以重现该问题。
版本:qwt 6.0.1我尝试开发频谱的对数缩放。我使用简单的线条来启用缩放plotspectrum->setAxisScaleEngine(QwtPlot::yLeft, new QwtLog10S
我有两个相同的表,I_Subject 和 I_Temp_Subject,我想将 Temp_Subject 表复制到 Subject 表。 I_Temp_Subject 由简单用户使用,I_Subjec
我的印象是第一次绘制发生在触发 DOMContentLoaded 事件之后。特别是,因为我认为为了让第一次绘制发生,需要渲染树,它依赖于 DOM 构造。另外,我知道 DOM 构造完成时会触发 DOMC
我是一名优秀的程序员,十分优秀!