Я реализовал чат в реальном времени с помощью веб-сокетов с Фэй в Rails 4.2.
Прямо сейчас я могу опубликовать сообщение на каналах, используя curl, например:
curl http://localhost:3000/faye -d message={"channel":"/mychannel", "data": "my message"}'
Чтобы предотвратить это, я следовал руководству http://faye.jcoglan.com/security/csrf.html
Но клиент всегда получал ошибку 401
[,…]
0: {id: "8l", channel: "/meta/handshake", error: "401::Access denied", successful: false, version: "1.0",…}
advice: {reconnect: "handshake"}
channel: "/meta/handshake"
error: "401::Access denied"
id: "8l"
successful: false
supportedConnectionTypes: ["long-polling", "cross-origin-long-polling", "callback-polling", "websocket", "eventsource",…]
version: "1.0"
Я также отлаживаю переменные токена внутри расширения CsrfProtection. Они всегда отличаются.
Started POST "/faye" for 127.0.0.1 at 2016-02-20 02:53:59 +0600
session_token: "nICoUB0sDiwmNqbRpr1kUM7LtyBybCiddThnZceU7UI="
message_token: "PO5gD5tPwVMZifrUCsk8xnJXUIRZkhOU/vQ+ujbmQAugbshfhmPPfz+/XAWsdFiWvJznpCv+OwmLzFnf8XKtSQ=="
Почему они отличаются и как реализовать защиту csrf?
