何时跳过verify_authenticity_token

Question

为什么人们会跳过验证并增加其应用的安全漏洞？在只有GET请求的页面上禁用它是否有益？提前致谢.

Answer 1

Rails 中的 GET 请求已跳过 CRSF 检查

http://guides.rubyonrails.org/security.html

3.1 CSRF 对策——首先，按照 W3C 的要求，适当地使用 GET 和 POST。其次，非 GET 请求中的安全令牌将保护您的应用程序免受 CSRF 的影响。

您也可以看到方法本身。

http://api.rubyonrails.org/classes/ActionController/RequestForgeryProtection.html#method-i-verify_authenticity_token

 .... Also, GET requests are not protected as these should be idempotent. ....

 verified_request?()
   Returns true or false if a request is verified. Checks:
   is it a GET request? Gets should be safe and idempotent