我正在构建一个Rails应用程序,其中所有前端文件都存储在与Rails服务器不同的服务器中。因此,所有请求都由Javascript发送的AJAX处理。
我这样做部分是为了分离前端和后端,并防止应用程序凌乱。由于我使用的是Google Closure Library,但Rails似乎并不支持它。
我想知道这是一般的好习惯,还是真的有必要这样做。现在我遇到了CSRF的问题,我无法弄清楚如何安全地将AJAX发送到服务器,因为我无法访问前端的csrf令牌而不会破坏我的会话。
答案 0 :(得分:1)
我认为如果您使用具有适当API支持的可靠后端,那么您就没有问题。
关于Rails上的API服务器的这篇文章: http://broadcastingadam.com/2012/03/state_of_rails_apis/
显示有很多实现,各种工作正在进行中。 API版本似乎是一个有问题的领域。
如果您担心CSRF,我建议您查看rack_csrf。