Railsではprotect_against_forgeryが必要ですか？

Question

私は数時間にわたりRailsのセキュリティを読んできましたが、私はCSRFの仕組みについて少し困惑しています。それは私がそれを切り替えるためにあなたがprotect_against_forgery機能を使用する必要があることを見てどこでも言及されている。

私は大きなアプリケーション（Rails3.2-4）で作業しており、コードベースで使用することはできません。それでもCSRFの仕組みは次のようになっています：

protect_against_forgery? # true 

Railsの正式な回答は何ですか？明示的に設定する必要がありますか、自動的に設定されていますか？ application.html.erbで

Answer 1

、我々はあなたがタグは、その後、あなたが無効なトークンの真正のエラーを取得することを削除した場合、偽造の要求を防止するために使用されるcsrf_meta_tagsを持っています。
デフォルトで有効になっています。

Answer 2

はい、偽造防止はデフォルトで有効です。 ApplicationControllerのどこかで有効にする必要があります。可能であればbefore_filter :verify_authenticity_tokenのような形式かそのようなものです。