如果在application_controller中提到了protect_from_forgery选项，我可以登录并执行任何GET请求，但在第一个POST请求上，Rails会重置会话，将我登出。 我暂时关闭了protect_from_forgery选项，但想要与Angular.js一起使用它...

我有一个使用Rails3构建的网站，现在我想为移动客户端访问实现json API。然而，由于protect_from_forgery过滤器，客户端发送json post请求会失败。因为客户端不会从服务器检索任何数据，所以客户端无法接收auth_token，因此我想仅针对json请求关闭prot...

我在我的Rails应用程序中有一个React组件，我试图使用fetch()向我的本地主机上托管的Rails应用程序发送一个POST请求，这给了我一个错误： ActionController::InvalidAuthenticityToken (ActionController::Invalid...

我了解Rails默认不为HTTP GET请求提供CSRF保护，因为它声称它们是幂等的。但是，从这些GET请求返回给用户的信息是敏感的，我不想让恶意站点检索到这些信息。 在Rails中保护HTTP GET请求免受CSRF攻击的最佳方法是什么?