我不在我的应用程序控制器中使用protect_from_forgery,在我的开发环境中,它按预期工作,不会生成任何会话。但在生产环境中,CSRF令牌将写入会话。
Session.inspect给出了
{:_csrf_token => "duY6ATHEBzYXzg8aXdNF6CZYXicPhlFQdDodjREMwAM=",
:session_id => "25728f624574a1d831b4510b2e7f6c92"}
为什么会这样?
答案 0 :(得分:0)
我发现我有一部分
<% form_tag session_path, :method => :post do -%>
并将_csrf_token写入会话。