我有一个使用ActionCable和GraphQL设置的Rails应用程序,大致根据以下文档进行介绍:GraphiQL,ActionCable Overview
可以使用以下方式指定可能打开连接的域
config.action_cable.allowed_request_origins = ...
我还有一个应该可以连接的移动应用程序。
为了允许来自未知来源的移动应用程序的连接,据我所知,必须禁用动作电缆的防伪保护并删除allowed_request_origin配置。例如,这是this SO answer中的推荐方法。
config.action_cable.disable_request_forgery_protection = true
但是,由于我缺少有关此配置确切含义的信息,我不愿意应用此配置。一堆谷歌搜索并没有得出任何结论性的答案。
现在哪个端点将接受任何来源的连接,仅/websocket?对我的应用程序有什么安全影响?
最后,针对此特定用例的推荐方法是什么,例如从某些移动应用打开websocket连接?