我的Rails 4应用中有链接,允许用户删除预订。例如:
<%= link_to "Cancel this booking", guests_cancel_path(@booking), :confirm => "Are you sure you want to withdraw this booking?", :method => :patch %>
这些链接在视图中有条件地显示,因此如果预订确实已经确认,那么他们将在视图中看到取消它的链接。
由于我不太熟悉PATCH背后的工作方式,所以我想问一下这种方法是否足够安全,可以阻止其他用户创建此链接并恶意使用它。
注意我故意不通过GET提供对此路径的访问权。