[英]Get rid of X-CSRF-Token in Rails
我需要設計一個用於Rails的RESTful API,它將啟用從Web瀏覽器,智能手機,平板電腦等的登錄。登錄時,它始終需要X-CSRF-Token,因此每次我都需要使用會話或cookie信息。 但是REST api應該是無狀態的,這意味着不應該使用cookie。 有辦法擺脫它嗎? 有什么建議嗎?
這是我在同時響應HTML和JSON的應用程序中處理此問題的方式。 我想要CSRF檢查,除非它是來自受信任來源的API調用,所以
application_controller.rb
class ApplicationController < ActionController::Base
protect_from_forgery
# has to come after the protect_from_forgery line
skip_before_filter :verify_authenticity_token, :if => :api_request?
# but don't just accept any URL with a .json extension, you need something else to
# ensure your caller is trusted (in this case I test for a valid API key being passed)
before_filter :api_key_valid?, :if => :api_request?
def api_request?
request.format == 'application/json'
end
# ... etc
end
Rails中的ElasticSearch和AJAX請求出現X-CSRF-Token錯誤
[英]X-CSRF-Token error with ElasticSearch and AJAX requests in Rails
Rails 無法使用 X-CSRF-TOKEN 標頭驗證 CSRF 令牌真實性 ajax
[英]Rails Can't verify CSRF token authenticity ajax with X-CSRF-TOKEN header
為什么我的用戶的X-CSRF-Token標頭與會話中的_csrf_token不同?
[英]Why is my user's X-CSRF-Token header different form the _csrf_token in the session?
xhr.setRequestHeader('X-CSRF-Token',token)在開發環境中有效,但在生產環境中無效
[英]xhr.setRequestHeader('X-CSRF-Token',token ) works in dev but not in production
即使請求標頭中包含正確的 x-csrf-token,也不要在 Ajax 帖子上設置 current_user
[英]Devise not setting current_user on Ajax post even though correct x-csrf-token is included in request header
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.