我是一名 PHP 开发人员,通过阅读 Michael Hartl's tutorial 来学习 Ruby on Rails 。以下是书中的一段引用,引用csrf_meta_tag
:
...the Rails method
csrf_meta_tag
[prevents] cross-site request forgery (CSRF), a type of malicious web attack. Don’t worry about the details (I don’t); just know that Rails is working hard to keep your application secure.
问题是,我真的很好奇。插入 csrf-param
和 csrf-token
元标记如何防止 CSRF?我尝试用谷歌搜索,但找不到任何东西。
最佳答案
csrf_meta_tag
基本上实现了与隐藏表单字段相同的功能,但它可以为未绑定(bind)到表单的 JavaScript 请求提供一种获取 token 的简单方法。
如果您使用 jquery-ujs库中该元标记的内容会自动添加(作为请求 header )到发出的任何 ajax 请求中。
关于ruby-on-rails - rails : How Does csrf_meta_tag Work?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9996665/