如果在application_controller中提到了protect_from_forgery选项,我可以登录并执行任何GET请求,但在第一个POST请求上,Rails会重置会话,将我登出。 我暂时关闭了protect_from_forgery选项,但想要与Angular.js一起使用它...
我有一个使用Rails3构建的网站,现在我想为移动客户端访问实现json API。然而,由于protect_from_forgery过滤器,客户端发送json post请求会失败。因为客户端不会从服务器检索任何数据,所以客户端无法接收auth_token,因此我想仅针对json请求关闭prot...
我在我的Rails应用程序中有一个React组件,我试图使用fetch()向我的本地主机上托管的Rails应用程序发送一个POST请求,这给了我一个错误: ActionController::InvalidAuthenticityToken (ActionController::Invalid...
我了解Rails默认不为HTTP GET请求提供CSRF保护,因为它声称它们是幂等的。但是,从这些GET请求返回给用户的信息是敏感的,我不想让恶意站点检索到这些信息。 在Rails中保护HTTP GET请求免受CSRF攻击的最佳方法是什么?