У мене є програма rails, яка обслуговує деякі API для програми iPhone. Я хочу мати можливість просто публікувати на ресурсі, не замислюючись над тим, щоб отримати правильний маркер CSRF. Я спробував деякі методи, які я бачу тут у stackoverflow, але, схоже, вони більше не працюють на рейках 3.
Дякую за допомогу.
Відповіді:
У контролері, де потрібно відключити CSRF, перевірте:
skip_before_action :verify_authenticity_tokenАбо відключити його для всього, крім кількох методів:
skip_before_action :verify_authenticity_token, :except => [:update, :create]Або вимкнути лише вказані методи:
skip_before_action :verify_authenticity_token, :only => [:custom_auth, :update]Більше інформації: RoR Запит захисту від підробки
У Rails3 ви можете відключити маркер csrf у своєму контролері для конкретних методів:
protect_from_forgery :except => :create ApplicationController. Відповідь Майка Льюїса нижче ( skip_before_filter :verify_authenticity_token) полягає в тому, як відключити його на основі контролера, припускаючи, що контролер успадковує від ApplicationController.
З Rails 4 тепер у вас є можливість записуватись skip_before_actionзамість skip_before_filter.
# Works in Rails 4 and 5
skip_before_action :verify_authenticity_tokenабо
# Works in Rails 3 and 4 (deprecated in Rails 4 and removed in Rails 5)
skip_before_filter :verify_authenticity_token