0

Rails セキュリティ ガイドによると、protect_from_forgery を使用すると、すべての非 GET リクエストに認証トークンが含まれます。ただし、Jquery AJAX POST リクエストがある場合、authenticity_token パラメータがリクエストのパラメータの 1 つとして表示されません。これはどのように機能するはずですか?

また、セッション外からの POST リクエスト (スクリプト内のカール) も authencity_token を必要としないようです。

ありがとう!

4

1 に答える 1

1

Rails は、このパラメーターを投稿データではなくヘッダーで送信します。これを機能させるには、組み込みの Rails UJS ライブラリを含める必要があります。リクエストのヘッダーを確認すると、X-CSRF-Token というヘッダーが表示されます。

于 2013-09-22T16:45:45.237 に答える