而不是只填写在HTML中的形式,它应该也可以发送一个包含参数的发布请求。是否有可能关闭真实性标记,例如,如果接受标志设置为'应用程序/ JSON'在HTTP标头中?在Rails 2中关闭Web服务的真实性令牌?
8
A
回答
7
请求伪造保护工程在检查请求的内容类型的基础上,它仅检查浏览器可以做出的请求。例如,没有浏览器能够生成内容类型设置为“application/json”的请求。这就是为什么铁轨伪造保护程序不会检查它。所以,如果你想对你的应用程序发出一个json请求,把content-type头设置为“application/json”,它应该可以工作。
1
-1
将真实性标记添加到每个json请求不是更容易吗?
是的,但随后的客户端必须发送一个请求第一只获得令牌,然后又与实际POST请求,这没有任何意义恕我直言..
相关问题
- 1. Rails 3真实性令牌
- 2. 在rails 3中关闭CSRF令牌
- 3. 无法在rails中验证CSRF令牌的真实性
- 4. 无效的真实性令牌
- 5. 在Web服务中使用令牌
- 6. Rails的CSRF令牌的真实性和设计
- 7. Ruby on Rails使用IE时无效的真实性令牌
- 8. Rails/Doorkeeper:无法验证CSRF令牌的真实性
- 9. Rails 5 devise_token_auth无法验证CSRF令牌的真实性
- 10. Rails - 捕获'无效的真实性令牌'异常
- 11. Rails 3忽略AJAX请求真实性令牌
- 12. Rails部署导致“无法验证CSRF令牌真实性”
- 13. Rails 4真品令牌
- 14. 基于令牌的Web服务安全
- 15. Rails的Angular 2 CSRF令牌
- 16. 在会话过期后无法验证CSRF令牌的真实性 - Rails + devise + redis
- 17. Devise token auth无法验证CSRF令牌的真实性
- 18. 关闭Apple通知令牌
- 19. 寻找Web服务安全性的真实故事漏洞
- 20. 如何使用我的Rails控制台获取有效的真实性令牌?
- 21. 无法验证CSRF令牌的真实性!使用POST的RAILS API
- 22. 无法验证CSRF令牌的真实性
- 23. 关闭SQL连接的Java web服务
- 24. 当Web服务器关闭时,关闭Web应用程序中的TaskExecutor
- 25. 检查WCF服务的真实性
- 26. 当从Android调用Rails时无法验证CSRF令牌的真实性
- 27. 使用devise在数据库中检查提交的令牌对数据库中的真实性令牌
- 28. 设计:无法验证服务器上启用的HTTPS的CSRF令牌真实性(无JSON/API)
- 29. 服务结构参与者和服务的相关令牌
- 30. Web服务关闭时显示消息