Добрый день, в ApplicationController, от которого наследуются все остальные контроллеры в моем приложении сделал:
class ApplicationController < ActionController::Base
# Prevent CSRF attacks by raising an exception.
# For APIs, you may want to use :null_session instead.
protect_from_forgery with: :null_session
...
end
Вместо:
protect_from_forgery with: :exception
Запустив
brakeman, что бы узнать как много ошибок безопасности в моем приложении увидел, что он рекомендует использовать:
protect_from_forgery with: :exception
Вопрос: как
protect_from_forgery with: :null_session это может навредить безопасности web приложения? Читал документацию, пробовал произвести CSRF атаку вручную, мне не удалось, вместо исключительной ситуации оказываюсь на главной странице своего приложения, а экшен на который я производил атаку не выполнился.
Средний
