标签: ruby-on-rails
使用以下不良做法并将控制器操作暴露给CSRF攻击吗?
match ':controller(/:action(/:id))(.:format)'
答案 0 :(得分:2)
是。请查看verified_request?方法here 它不会验证GET请求的令牌。
verified_request?
GET
您必须在路线中指定HTTP动词。
match "something" => "controller#action", :via => :post