Carlos Brando

Nome do Jogo

Edge Rails: Requisições AJAX não terão mais validação de tokens

Faz tempo que não escrevo sobre as novidades para a próxima versão do Rails, mas esta em particular me chamou a atenção. No Rails 3.0 não teremos mais a validação de tokens em requisições AJAX.

Este tipo de validação por tokens é essencial para evitar ataques do tipo CSRF. Ao montar um formulário HTML, automaticamente o Rails adiciona um token (um código com letras e números baseado no id da sessão atual) ao formulário, quando o mesmo é enviado de volta ao servidor é possível então verificar se aquele formulário está vindo de uma sessão valida ou se está vindo de algum outro site malicioso.

Até então, este token por padrão também era adicionado automaticamente às chamadas AJAX através dos helpers do Rails. Mas ao criar os seus próprios códigos AJAX Javascript, era necessário que você manualmente incluísse este token para que sua requisição não fosse recusada pelo servidor.

Mas requisições AJAX maliciosas não podem produzir ataques do tipo CSRF, então todo este trabalho manual era desnecessário, e por isto será retirado do Rails na próxima versão. Particularmente eu gostei disso.

Comments