关闭Web服务的Rails 2中的真实性令牌?
它不仅可以在HTML中填写表单,还可以发送包含参数的发布请求。例如,如果将Accept标志设置为’application / JSON’,是否可以关闭真实性标记在HTTP标头?
请求伪造保护的工作原理是检查请求的内容类型,并且只检查浏览器可以发出的请求。 例如,没有浏览器能够生成内容类型设置为“application / json”的请求。 这就是为什么导轨防伪程序不会检查它。 因此,如果要向应用程序发出json请求,请将content-type标头设置为“application / json”,它应该可以正常工作。
我知道有一种方法可以为控制器或动作关闭它。 不确定内容类型。 将真实性令牌添加到每个json请求会不会更容易? 网上有很少的文章如何做到这一点(例如这里和这里 )。
将真实性令牌添加到每个json请求会不会更容易?
是的,但是然后客户端必须首先发送请求才能获得令牌,然后另一个请求实际的POST请求,这是没有意义的恕我直言..