我正在努力为我的AJAX调用制定安全性。我有一个jQuery帖子调用删除了一个注释。根据我的阅读,似乎我需要使用protect_from_forgery来确保帖子来自有效用户。
这是我到目前为止所拥有的
application_controller.rb
class ApplicationController < ActionController::Base
protect_from_forgery
...
的index.html
$.post('../delete_note',{id:$('#note_id').val()}, function(data) {
});
note_controller.rb
def delete_note
y params
render :text => "success"
end
目前,邮件请求由Rails运行,即使我没有发送任何安全令牌。我需要做些什么来保护电话?
我正在使用Rails 3.0.1和devise进行用户管理。
答案 0 :(得分:3)
您可能希望确保用户已登录,在您的便笺控制器中使用以下内容:
before_filter :authenticate_member!, :except => [:index]
此外,检查用户是否有权删除该笔记,以便您使用cancan等授权解决方案。