Mohli by existovať nejaké bezpečnostné problémy pri používaní vzdialeného: pravda pre implementáciu AJAX v aplikáciách Rails?
Som študent, ktorý sa naučil Ruby on Rails a stal sa zvedavý, prečo niektorí (náš učiteľ) odmietajú používať funkciu "vzdialené: pravé" v Rails, pričom spomína bezpečnostné dôvody.
odpovede:
1 pre odpoveď č. 1Ak chcete zabezpečiť odoslanie formulára, pomocník na formovanie koľajníc automaticky generuje krížovú požiadavku (CSRF), ktorá je potom overená serverom pri odoslaní formulára.
Pravidelné Ajax
Častokrát pridávajú vývojári skip_before_action :verify_authenticity_token
na ich kontrolóroch, aby sa uistili, že ajax žiadosťprechádza bez kontrolóra, ktorý si o ňom sťažuje, čo nie je správna prax. Jedným zo spôsobov, ktorými je toto riešenie, je odovzdať CSRF token vytvorený pomocníkom ako súčasť údajov Ajaxu.
Koľajnice "s remote: true
Toto je výzva vyriešená remote: true
, Prechádza token CSRF na server, takže je bezpečný.