ฉันมีแอพทางรถไฟที่ให้บริการ API บางตัวกับแอปพลิเคชัน iPhone ฉันต้องการเพียงแค่โพสต์บนทรัพยากรโดยไม่ต้องสนใจว่าจะได้รับโทเค็น CSRF ที่ถูกต้อง ฉันลองใช้วิธีการบางอย่างที่ฉันเห็นที่นี่ใน stackoverflow แต่ดูเหมือนว่าจะไม่ทำงานบนราง 3 อีกต่อไป
ขอบคุณที่ช่วยตอบ
คำตอบ:
ในตัวควบคุมที่คุณต้องการปิดใช้งาน CSRF ให้ทำเครื่องหมาย:
skip_before_action :verify_authenticity_tokenหรือปิดการใช้งานสำหรับทุกอย่างยกเว้นไม่กี่วิธี:
skip_before_action :verify_authenticity_token, :except => [:update, :create]หรือปิดใช้งานเฉพาะวิธีการที่ระบุ:
skip_before_action :verify_authenticity_token, :only => [:custom_auth, :update]ข้อมูลเพิ่มเติม: RoR Request Forgery Protection
ใน Rails3 คุณสามารถปิดใช้งานโทเค็น csrf ในคอนโทรลเลอร์ของคุณสำหรับวิธีการเฉพาะ:
protect_from_forgery :except => :create ApplicationControllerสำหรับทุกคนที่อ่านทราบว่านี่คือสิ่งที่ควรจะไปใน การตอบสนองไมค์ลูอิสด้านล่าง ( skip_before_filter :verify_authenticity_token) ApplicationControllerเป็นวิธีการที่จะปิดการใช้งานบนพื้นฐานต่อการควบคุมสมมติว่าสืบทอดควบคุมจาก
ด้วยทางรถไฟ 4 ขณะนี้คุณมีตัวเลือกที่จะเขียนในแทนskip_before_actionskip_before_filter
# Works in Rails 4 and 5
skip_before_action :verify_authenticity_tokenหรือ
# Works in Rails 3 and 4 (deprecated in Rails 4 and removed in Rails 5)
skip_before_filter :verify_authenticity_token