根据Rails安全指南,如果您使用protect_from_forgery,则所有非GET请求都包含真实性令牌。但是,当我有Jquery AJAX POST请求时,我不会将authenticity_token参数视为请求中的一个参数。这是它应该如何运作的吗?
此外,似乎来自会话外的POST请求(脚本中的curl)也不需要authencity_token。
谢谢!
答案 0 :(得分:1)
Rails会在标题中而不是在帖子数据中发送此参数。您需要包含内置的rails UJS库才能使其正常工作。查看请求中的标题,您应该看到一个名为X-CSRF-Token的标题。