Ho un'app per rails che serve alcune API a un'applicazione per iPhone. Voglio essere in grado di pubblicare semplicemente su una risorsa senza preoccuparmi di ottenere il token CSRF corretto. Ho provato alcuni metodi che vedo qui in stackoverflow ma sembra che non funzionino più su rails 3.
Grazie per l'aiuto.
Risposte:
Nel controller in cui si desidera disabilitare CSRF il controllo:
skip_before_action :verify_authenticity_tokenO disabilitarlo per tutto tranne alcuni metodi:
skip_before_action :verify_authenticity_token, :except => [:update, :create]O per disabilitare solo i metodi specificati:
skip_before_action :verify_authenticity_token, :only => [:custom_auth, :update]Maggiori informazioni: RoR Request Forgery Protection
In Rails3 puoi disabilitare il token csrf nel tuo controller per metodi particolari:
protect_from_forgery :except => :create ApplicationController. La risposta di Mike Lewis sotto ( skip_before_filter :verify_authenticity_token) è come disabilitarlo per controller, assumendo che il controller erediti da ApplicationController.
Con Rails 4, ora hai la possibilità di scrivere al skip_before_actionposto di skip_before_filter.
# Works in Rails 4 and 5
skip_before_action :verify_authenticity_token
o
# Works in Rails 3 and 4 (deprecated in Rails 4 and removed in Rails 5)
skip_before_filter :verify_authenticity_token