Защита Rails CSFR: правильно ли писать before_filter?

Question

Защита Rails CSFR: правильно ли писать before_filter?

Мой контроллер приложения выглядит так:

class ApplicationController < ActionController::Base
  protect_from_forgery
  before_filter :check_csrf
  def check_csrf
    if not verified_request?
      redirect_to root_url, :error => "forgery protection"
      return
    end
  end
end

Без check_csrf Rails записывает предупреждение на консоль сервера о неверных ответах, затем выполнение продолжается как обычно. Поэтому мне пришлось написать свой собственный check_csrf. Теперь все отлично работает. Это правильно? Есть ли более простой способ остановить выполнение неверного запроса?

Версия Rails: 3.1.

0

ruby-on-rails-3.1 csrf-protection protect-from-forgery

Источник

user344347 05 ноя '11 в 11:00

1 ответ

Решение

Другие вопросы по тегам ruby-on-rails-3.1 csrf-protection protect-from-forgery

user591980 27 ноя '11 в 12:37 2011-11-27 12:37 · Accepted Answer · 2011-11-27 12:37

Я думаю, что вы должны переопределить handle_unverified_request.

Что-то вроде того:

class ApplicationController < ActionController::Base
  protect_from_forgery

  protected
    def handle_unverified_request
      redirect_to root_url, :error => "forgery protection"
    end
end

2

Источник

user591980 27 ноя '11 в 12:37