问Rails中应用程序控制器中的“protect_from_forgery”

EN

它可以保护您免受csrf攻击。例如，所有的POST请求都应该有特定的安全令牌。

http://en.wikipedia.org/wiki/Cross-site_request_forgery

http://guides.rubyonrails.org/security.html#cross-site-request-forgery-csrf

这是rails内置的功能，可以防止csrf攻击，

通过此链接了解更多信息，

http://railskey.wordpress.com/2012/07/02/rails-protect_from_forgery/

通过将身份验证令牌作为隐藏字段添加到表单字段，可以防止跨站点脚本攻击。在Post请求时，该令牌与存储在数据库中的令牌匹配。

CSRF中的一项功能，可防止跨站点请求伪造( protect_from_forgery：)攻击。

这个特性使得所有生成的表单都有一个隐藏的id字段。此id字段必须与存储的id匹配，否则不接受表单提交。

这可以防止其他站点上的恶意表单或使用XSS插入的表单提交给Rails应用程序。