次の不適切な方法を使用していて、コントローラーのアクションが CSRF 攻撃にさらされていませんか?
match ':controller(/:action(/:id))(.:format)'
質問する
51 次
1 に答える
2
はい。こちらverified_request?の方法をご覧ください。リクエスト
のトークンは検証されません。GET
ルートで HTTP 動詞を指定する必要があります。
match "something" => "controller#action", :via => :post
于 2012-07-04T10:05:44.323 に答える