Rack :: Protection :: FormToken은 언제 보안 문제입니까?

Question

는 Rack::Protection::FormToken의 헤더 주석 말한다

:

# This middleware is not used when using the Rack::Protection collection, 
# since it might be a security issue, depending on your application 

사람이 미들웨어는 보안 문제가 될 때의 예를 설명 할 수 있습니까?

Answer 1

https://github.com/rkh/rack-protection/issues/38에 따르면 "FormToken은 토큰없이 xhr 요청을 처리 할 수 ​​있습니다."

양식 토큰에 의존하고 xhr 요청으로부터 보호하기위한 추가 조치를 취하지 않은 경우 보안 위험이있는 것으로 간주 될 수 있습니다. 사실 위조 일 때 요청이 진짜 였다고 생각할 수 있습니다 (FormToken의 보호를받습니다. 맞습니다!). 명시 적으로 FormToken을 설치함으로써 개발자는 자신이 수행하는 작업을 검토하고 필요한 단계를 수행하기를 바랍니다.