如何保证此帖子请求到Rails?

时间:2011-01-21 08:42:49

标签: ruby-on-rails ajax security csrf

我正在努力为我的AJAX调用制定安全性。我有一个jQuery帖子调用删除了一个注释。根据我的阅读,似乎我需要使用protect_from_forgery来确保帖子来自有效用户。

这是我到目前为止所拥有的

application_controller.rb

class ApplicationController < ActionController::Base
  protect_from_forgery
...

的index.html

$.post('../delete_note',{id:$('#note_id').val()}, function(data) {

});

note_controller.rb

def delete_note
    y params
    render :text => "success"
end 

目前,邮件请求由Rails运行,即使我没有发送任何安全令牌。我需要做些什么来保护电话?

我正在使用Rails 3.0.1和devise进行用户管理。

1 个答案:

答案 0 :(得分:3)

您可能希望确保用户已登录,在您的便笺控制器中使用以下内容:

before_filter :authenticate_member!, :except => [:index]

此外,检查用户是否有权删除该笔记,以便您使用cancan等授权解决方案。