Mam aplikację rails, która obsługuje niektóre interfejsy API do aplikacji na iPhone'a. Chcę móc po prostu opublikować post na zasobie, nie myśląc o uzyskaniu prawidłowego tokena CSRF. Wypróbowałem kilka metod, które widzę tutaj w przepływie stosu, ale wygląda na to, że nie działają już na szynach 3.
Dziękuję za pomoc.
Odpowiedzi:
W kontrolerze, w którym chcesz wyłączyć CSRF sprawdź:
skip_before_action :verify_authenticity_tokenLub wyłączyć go na wszystko oprócz kilku metod:
skip_before_action :verify_authenticity_token, :except => [:update, :create]Lub wyłączyć tylko określone metody:
skip_before_action :verify_authenticity_token, :only => [:custom_auth, :update]Więcej informacji: RoR Request Forgery Protection
W Rails3 możesz wyłączyć token csrf w kontrolerze dla określonych metod:
protect_from_forgery :except => :create ApplicationController. Odpowiedź Mike'a Lewisa poniżej ( skip_before_filter :verify_authenticity_token) to sposób wyłączenia go dla każdego kontrolera, zakładając, że kontroler dziedziczy po ApplicationController.
W Rails 4 masz teraz możliwość wpisywania skip_before_actionzamiast skip_before_filter.
# Works in Rails 4 and 5
skip_before_action :verify_authenticity_tokenlub
# Works in Rails 3 and 4 (deprecated in Rails 4 and removed in Rails 5)
skip_before_filter :verify_authenticity_token