我试图在我的rails 3.0.8应用程序中伪造伪造请求但没有成功
我有常规表单,我在提交之前用Tamper更改了auth密钥 在这一点上,我希望rails重置会话,然后注销current_user 但是没有发生,行动成功完成,用户保持登录
我的应用程序控制器中有protect_from_forgery语句 我试图将config.consider_all_requests_local更改为false
答案 0 :(得分:6)
确实......它做了一些事情,但你必须对它进行编码。
以前的行为已被删除,这是一个有争议的决定,但您可以将其取回,包括ApplicationController中的以下代码:
def handle_unverified_request
#add here code to empty the session
raise ActionController::InvalidAuthenticityToken
end