这篇文章上次修改于 1997 天前,可能其部分内容已经发生变化,如有疑问可询问作者。

这里涉及到rails2.0以后为了提高安全性,防止伪造当前web程序的链接,技术上是嵌入一个随机字符窜在会话中,这样攻击者无法知道,保证了不会有通过其他网站控制器从CSRF的攻击行动。如果想要了解更多CSRF(Cross-site Request Forgery)请参考如下网站

http://en.wikipedia.org/wiki/Cross-site_request_forgery

http://isc.sans.org/diary.html?storyid=1750

解决方法:

如果按照上面的步骤,那么只需 Turn on request forgery protection. 在控制器中对于公开的实例方法开启请求伪造的开关。 特别注意,只在非Get的Html/JavaScript请求,保证网站的数据安全性。

 protect_from_forgery :except => :index

2019-06-20_230022.png

2019-06-20_230333.png