Действительно ли Rails' protect_from_forgery действительно полезен?

Question

Я спрашиваю об этом, потому что чувствую, что моя жизнь становится слишком сложной, когда я начинаю общаться с рельсами с помощью ajax или flash.

Я знаю, что хорошо защищаться от CSRF, но разве я не могу просто проверить реферера или что-то еще?

ruby-on-rails security protect-from-forgery

Источник

user90691 25 ноя '09 в 14:40

1 ответ

Решение

Другие вопросы по тегам ruby-on-rails security protect-from-forgery

user122080 25 ноя '09 в 14:52 2009-11-25 14:52 · Accepted Answer · 2009-11-25 14:52

Многие пользователи деактивируют своего реферера, в основном не по своему выбору.
Но потому что они за брандмауэром, который его блокирует.

Использование защиты от подделки - единственное решение для защиты вас от CSRF.
Но вы можете отключить для любого действия, которое вы хотите.

В вашем контроллере вы добавляете:

skip_before_filter :verify_authenticity_token, :only => :create

Это отключит проверку токена для действия create в контроллере, в который вы добавили фильтр.