我有一个Wordpress网站,其中嵌入了Ruby on Rails网站的一些元素(这是我们的会员区,位于一个子域上)。这些元素包括一个登录表单。当人们使用它时,Rails会因为无效的CSRF令牌而返回一个错误。是否必须为登录操作禁用CSRF?我有什么选择?如果答案是禁用它,那么对于Devise,有没有一种轻松的方法呢?
在提交表单之前用JavaScript创建CSRF令牌有什么问题吗?示例:
var csrf_token = Math.random();
// Write csrf token to cookie.
// Add csrf token to the form being submitted.
// Submit form.
// Verify cookie csrf to form csrf on the server.
// When request is done; remove the cookie.
// Rinse and repeat.
我知道这很容易受到XSS的攻击,