我问这个是因为当我开始使用ajax或flash与rails进行通信时,我觉得这让我的生活过于复杂。
我知道防范CSRF很好,但我不能只检查referer或其他内容吗?
答案 0 :(得分:12)
许多用户停用他们的引用者,主要是不是选择 但是因为它们落后于阻止它的防火墙。
使用防伪保护是保护您免受CSRF侵害的唯一解决方案 但您可以停用任何您想要的操作。
在控制器中,添加:
skip_before_filter :verify_authenticity_token, :only => :create
这会对您添加过滤器的控制器中的创建操作的令牌验证失效。