У меня есть приложение rails, которое обслуживает некоторые API для приложения iPhone. Я хочу иметь возможность просто публиковать сообщения на ресурсе, не заботясь о получении правильного токена CSRF. Я пробовал некоторые методы, которые я вижу здесь, в stackoverflow, но, похоже, они больше не работают на рельсах 3.
Спасибо за помощь мне.
Ответы:
В контроллере, где вы хотите отключить CSRF, проверьте:
skip_before_action :verify_authenticity_tokenИли отключить его для всего, кроме нескольких способов:
skip_before_action :verify_authenticity_token, :except => [:update, :create]Или отключить только указанные методы:
skip_before_action :verify_authenticity_token, :only => [:custom_auth, :update]Подробнее: Защита от подделки запросов RoR
В Rails3 вы можете отключить токен csrf в вашем контроллере для определенных методов:
protect_from_forgery :except => :create ApplicationController. Ответ Майка Льюиса ниже ( skip_before_filter :verify_authenticity_token) - как отключить его для каждого контроллера, предполагая, что этот контроллер наследуется от ApplicationController.
В Rails 4 теперь у вас есть возможность писать skip_before_actionвместо skip_before_filter.
# Works in Rails 4 and 5
skip_before_action :verify_authenticity_tokenили
# Works in Rails 3 and 4 (deprecated in Rails 4 and removed in Rails 5)
skip_before_filter :verify_authenticity_token