21
我注意到,如果您發佈無效的CSRF令牌,rails/devise會自動將您註銷。Rails CSRF令牌 - 它們是否過期?
我有一個應用程序不刷新頁面,用戶長時間坐在實時頁面上。時不時的用戶被踢出去。我想知道CSRF令牌是否過期,使其無效。
這就是爲什麼我試圖學習,Rails CSRF令牌是否過期?有沒有時間設置在某個地方? Rails中
感謝
A
回答
24
CSRF保護的工作原理是作爲形式的現場提交,以及在用戶會話中存儲一個隨機值。如果在提交表單時這些值不匹配,Rails會拒絕表單提交請求。
如果您在Rails中使用默認的Cookie會話存儲,那麼會話將不會過期(直到cookie發生)。如果您使用的是其他文件(支持文件或數據庫的會話),那麼是的,如果這些會話過期,則表單提交將失敗並顯示CSRF錯誤。
因此,如果您使用基於Cookie的會話(默認),請檢查cookie過期時間。如果這看起來不錯,這可能是其他一些問題。
+0
你沒有提到csrf cookie的過期時間。它是一個會話cookie嗎? – Ethan
+0
它存儲在會話中,是的。只有在會話cookie中,如果你沒有使用ActiveRecord支持的會話。 – Lambart
+0
這個答案確實幫助我理解了一些概念並解決了我們發現的一個錯誤。謝謝!無論如何,我真的很想明白爲什麼cookie需要?如果rails給你一個authenticiy_token並且你用同樣的標記提交表單,爲什麼需要cookie?我試圖在清除緩存後提交表單,並且我得到了'ActionController :: InvalidAuthenticityToken'。表單上的令牌是否存儲在會話中,並且當表單get被提交時它會同時發送cookie和表單並驗證兩個令牌?謝謝。 –
相關問題
- 1. rails csrf令牌生存期
- 2. Rails的Angular 2 CSRF令牌
- 3. 帶Webpack的Rails 5.1:訪問CSRF令牌
- 4. CSRF同步令牌
- 5. Google Reader API令牌是否過期?
- 6. Twitter訪問令牌是否過期?
- 7. 在rails 3中關閉CSRF令牌
- 8. 笨,CSRF令牌
- 9. CSRF令牌生成
- 10. 我們可以指定CSRF令牌到期超時嗎?
- 11. 不記名令牌和CSRF
- 12. Django的CSRF令牌
- 13. 變化CSRF令牌
- 14. 需要CSRF令牌嗎?
- 15. 在會話過期後無法驗證CSRF令牌的真實性 - Rails + devise + redis
- 16. 爲window.location.href添加CSRF令牌
- 17. 如何通過RestFemplate傳遞CSRF令牌
- 18. 通過AJAX獲取CSRF令牌
- 19. Django csrf令牌使用
- 20. Cookie中的CSRF令牌
- 21. PHP中的Laravel csrf令牌
- 22. CSRF 403禁止 - 無效的CSRF令牌
- 23. SYMFONY2 - CSRF令牌無效Allwais
- 24. CSRF令牌使用SPA
- 25. Symfony2 CSRF令牌無效
- 26. CodeIgniter的CSRF令牌問題
- 27. 反CSRF令牌和Javascript
- 28. CSRF令牌多種形式
- 29. Csrf令牌縮放問題
- 30. WCF過期令牌?
你能描述空閒一段時間後用戶正在做什麼(狀態更新的HTTP POST,獲取新數據等)。 – Nick