RESTful 응용 프로그램의 XSRF

Question

저는 Rails and RESTful 접근법을 배우려는 ASP.NET 개발자입니다. 이해하려면 이메일 클라이언트를 작성하여 서버에 RESTful GET 호출을 보내 전자 메일을 가져오고 POST로 전자 메일을 보내도록 할 계획입니다.

위의 애플리케이션이 XSRF 취약점을 노출시키지 않도록 준수해야하는 모범 사례 (일반적인 레일즈 및/또는 레일스 고유)는 무엇입니까?

Answer 1

Ruby on Rails Security Project에는 이에 대한 좋은 게시물이 있습니다.

기본적으로 Rails 2.0 이상에는 XSRF 공격에 대한 보호 기능이 내장되어 있습니다. 폼 헬퍼를 통해 생성 된 모든 폼은 특별한 토큰이있는 숨겨진 필드를 포함합니다. POST (또는 비 GET)가 수신 될 때마다 토큰은 서버의 비밀과 비교하여 검사됩니다. 일치하지 않으면 보안 예외가 발생하고 요청은 무시됩니다.

이 기사를 읽으십시오. 그들은 그것을 더 잘 설명합니다.