我特别考虑登录表单:
由于其本质,登录表单会阻止任意输入的操作——如果没有有效的用户名和密码,您将被弹回。这些表单是否需要添加authenticity_token
或类似的跨站请求伪造保护呢?
我想知道登录表单是否是CSRF甚至普遍不受欢迎的一个例子:
对于匿名客户端,应该允许第一次与站点接触就POST有效的登录凭据。CSRF通过首先要求客户端执行GET以建立匿名会话cookie来防止这种直接交互,该cookie用作其authenticity_token的基础。然后必须使用登录凭据再次提交令牌。当实际目标是对试图提供凭据而没有会话的用户进行身份验证时,额外的前置步骤似乎毫无意义。
在这种情况下,我是否忽略了某些安全考虑?