CSRF

Voraussetzungen Dieses Tutorial folgt auf meinen vorherigen Beitrag über Rails API Authentifizierung mit React Frontend. Wie es funktioniert Nach dem Login speichert der Browser ein sicheres Cookie, das automatisch jeder Client-Anfrage beigefügt wird. Die Website eines Angreifers kann Anfragen im Namen des Benutzers fälschen, und diese werden authentifiziert. Warum CORS CSRF nicht stoppt CORS (Cross-Origin Resource Sharing) kontrolliert, wer Antworten von Cross-Origin-Anfragen lesen kann. Es verhindert nicht, dass der Browser die Anfrage sendet. CSRF verlässt sich nicht auf das Lesen der Antwort – es braucht nur den Browser, um eine gültige Anfrage mit Cookies zu senden. Lösung: Einen weiteren Validierungsvektor hinzufügen Erzeugen eines CSRF-Tokens auf dem Server. Rückgabe bei der Authentifizierung. Einbeziehung des CSRF-Tokens in den Anfragetext oder einen benutzerdefinierten Header für jede statusändernde Anfrage. Rails 8 + React: Implementierung 1. CSRF-Token auf dem Server generieren Konfigurieren Sie Rails so, dass ein CSRF-Token generiert und in einem Cookie gesendet wird. ...