Question

铁路公司(Ausenticity Token)自动保护从欧洲公路运输组织的攻击中提出的要求。但我想到的是另一个情况。

我在我的网站上播放了一个录像,我不想在其他地点被渗透。我的闪电者如何发出要求,要求我的国家航天中心签署一份备忘录,在几秒内结束。直到现在,用户必须登上录像带,这样作认证。然而,现在,我希望任何访问者都能够观看录像,而不要允许从另一个地点(例如,如果他们把我们的参与者带进他们的现场)索取已签署的URL。

我首先想到的是Austhenticity Token,因为似乎有这些确切的语义......我需要做的是把它推到GET的要求中。任何想法?

Answer 1

铁路认为,所有GET申请都应该是站不住脚的。这意味着铁路当然不会检查GET申请的真伪,甚至经核实。给每个就业岗位发放通行证。

def verified_request?
  !protect_against_forgery?     ||
    request.method == :get      ||
    !verifiable_request_format? ||
    form_authenticity_token == params[request_forgery_protection_token]
end

因此,我们必须阐述自己的逻辑。我们可以使用“美容”。所有这一切都造成了一种任意的扼杀,使本届会议得以 the:

def form_authenticity_token
   session[:_csrf_token] ||= ActiveSupport::SecureRandom.base64(32)
end

因此,我们可以在过滤之前检测到届会的圆顶参数的平等。通过确保只有杀手的访客才能观看录像。

主计长:

class CDNController < Action主计长::Base
  # You probably only want to verify the show action
  before_filter :verify_request, :only =>  show 

  # Regular controller actions…

  protected

  def verify_request
    # Correct HTTP response code is 403 forbidden, not 404 not found.
    render(:status => 403) unless form_authenticity_token == params[:token]
  end

end

观点:

<%= video_path(:token => form_authenticity_token) %>

Answer 2

your弄你的真伪:

<%= video_path(:token => form_authenticity_token) %>

在您的CDN控制器中,你可以检查被证明的真实性是否正确。

def verify_token
    render_404 unless form_authenticity_token == params[:token]
end

def render_404
    render :file => "#{RAILS_ROOT}/public/404.html", :status => 404
end

友情链接