Tôi có một ứng dụng rails cung cấp một số API cho một ứng dụng iPhone. Tôi muốn có thể chỉ cần đăng trên một tài nguyên mà không cần quan tâm đến việc lấy đúng mã thông báo CSRF. Tôi đã thử một số phương pháp mà tôi thấy ở đây trong stackoverflow nhưng có vẻ như chúng không còn hoạt động trên rails 3 nữa.
Cảm ơn vì đã giúp tôi.
Câu trả lời:
Trong bộ điều khiển nơi bạn muốn tắt CSRF, hãy chọn:
skip_before_action :verify_authenticity_tokenHoặc để vô hiệu hóa nó cho mọi thứ ngoại trừ một số phương pháp:
skip_before_action :verify_authenticity_token, :except => [:update, :create]Hoặc chỉ tắt các phương pháp được chỉ định:
skip_before_action :verify_authenticity_token, :only => [:custom_auth, :update]Thông tin thêm: RoR Request Forgery Protection
Trong Rails3, bạn có thể vô hiệu hóa mã thông báo csrf trong bộ điều khiển của mình cho các phương pháp cụ thể:
protect_from_forgery :except => :create ApplicationController. Phản hồi của Mike Lewis bên dưới ( skip_before_filter :verify_authenticity_token) là cách tắt nó trên cơ sở từng bộ điều khiển, giả sử rằng bộ điều khiển đó kế thừa từ ApplicationController.
Với Rails 4, bây giờ bạn có tùy chọn để viết skip_before_actionthay vì viết skip_before_filter.
# Works in Rails 4 and 5
skip_before_action :verify_authenticity_token
hoặc là
# Works in Rails 3 and 4 (deprecated in Rails 4 and removed in Rails 5)
skip_before_filter :verify_authenticity_token