默认情况下,Rails会自动为所有表单添加CSRF保护,方法是为站点生成的所有表单添加authentication_token
.
我真的希望我的网站在首页上有一个简单的注册表单,当然是一个静态HTML页面.这在理想情况下将完全避免触及Rails堆栈,从而允许我向头版提供更多的请求.
这样做的缺点是,它使CSRF保护更加困难.
但我想知道,考虑到CSRF攻击通常依赖于受害者登录,以便利用信任,是否真的有必要在注册表单上设置CSRF保护.注册表单would如果验证正确,用户就可以登录,但我认为这对攻击者没有任何用处.
对于这一点,是否有既定的看法,或者使用Rails/jQuery的变通方法?