嵌入式表单上的 CSRF 问题

Posted 2023-03-10

【中文标题】嵌入式表单上的 CSRF 问题

【英文标题】：CSRF issue on embedded form

【发布时间】：2018-10-17 04:14:02

【问题描述】：

我有一个嵌入了 Ruby on Rails 网站（这是我们的会员区，位于子域上）的一些元素的 Wordpress 网站。这些元素包括登录表单。当人们使用它时，Rails 由于 CSRF 令牌无效而返回错误。我是否必须为登录操作禁用 CSRF？我有哪些选择？如果答案是禁用它，那么 Devise 有没有一种轻松的方法呢？

【问题讨论】：

如何嵌入登录表单？是否包含带有authentity_token 的隐藏字段？

即使你禁用 csrf 登录检查，我猜任何其他操作在 Rails 应用程序中仍然不起作用，所以如果你找到它失败的根本原因，你会更好，因为它不应该。

【参考方案1】：

出于安全目的，请勿禁用 CSRF 令牌。相反，查看代码并确定 CSRF 令牌的来源，通常是数据库，然后您可以使用该令牌值创建一个变量，并将其回显到相关表单中的一个字段中，并使用 php 的特定 CSRF 令牌参数期待。