Question

使用以下不良做法并将控制器操作暴露给CSRF攻击吗？

match ':controller(/:action(/:id))(.:format)'

Answer 1

是。请查看verified_request?方法here 它不会验证GET请求的令牌。

您必须在路线中指定HTTP动词。

match "something" => "controller#action", :via => :post