Ich habe eine Rails-App, die einige APIs für eine iPhone-Anwendung bereitstellt. Ich möchte in der Lage sein, einfach auf einer Ressource zu posten, ohne darauf zu achten, das richtige CSRF-Token zu erhalten. Ich habe einige Methoden ausprobiert, die ich hier im Stackoverflow sehe, aber es scheint, dass sie auf Schienen 3 nicht mehr funktionieren.
Danke, dass du mir geholfen hast.
Antworten:
In der Steuerung, in der Sie CSRF deaktivieren möchten, wird Folgendes überprüft:
skip_before_action :verify_authenticity_tokenOder um es für alles außer ein paar Methoden zu deaktivieren:
skip_before_action :verify_authenticity_token, :except => [:update, :create]Oder um nur bestimmte Methoden zu deaktivieren:
skip_before_action :verify_authenticity_token, :only => [:custom_auth, :update]Weitere Informationen: RoR Request Forgery Protection
In Rails3 können Sie das csrf-Token in Ihrem Controller für bestimmte Methoden deaktivieren:
protect_from_forgery :except => :create ApplicationController. Die Antwort von Mike Lewis unten ( skip_before_filter :verify_authenticity_token) lautet, wie es auf Controller-Basis deaktiviert werden kann, vorausgesetzt, der Controller erbt von ApplicationController.
Mit Rails 4 haben Sie jetzt die Möglichkeit, skip_before_actionanstelle von zu schreiben skip_before_filter.
# Works in Rails 4 and 5
skip_before_action :verify_authenticity_tokenoder
# Works in Rails 3 and 4 (deprecated in Rails 4 and removed in Rails 5)
skip_before_filter :verify_authenticity_token