那些遇到过的问题

Rails 中的 protected_from_forgery 和 verify_authenticity_token 有什么区别?

Mys*_*ood 1 ruby-on-rails ruby-on-rails-5

我通常skip_before_action :verify_authenticity_token在 API 控制器中编写,但我刚刚发现还有一个protect_from_forgery except :action. 有什么区别以及我什么时候应该使用哪一个?

Sch*_*ern 6

查看 的代码,它是和protect_from_forgery的包装器。verify_authenticity_tokenverify_same_origin_request

def protect_from_forgery(options = {})
  options = options.reverse_merge(prepend: false)

  self.forgery_protection_strategy = protection_method_class(options[:with] || :null_session)
  self.request_forgery_protection_token ||= :authenticity_token
  before_action :verify_authenticity_token, options
  append_after_action :verify_same_origin_request
end
Run Code Online (Sandbox Code Playgroud)

我读到的文档是,protect_from_forgery默认情况下,您可以为 ApplicationController 中的所有控制器打开 CSRF。用于skip_before_action :verify_authenticity_token在子类中有选择地关闭它。

归档时间:

查看次数:

913 次

最近记录:

5 年,6 月 前
相关归档
如何在rake任务中强制执行RAILS_ENV? 45
rake资产:预编译RAILS_ENV =生产不按要求工作 33
如何在rails上的.yml本地化文件中打破行? 26
HAML on Rails 3返回"模板丢失"错误 21
link_to:action =>'create'去索引而不是'create' 18
在Rails中测试暂存/生产环境的最佳方法是什么? 15
Rails回形针和多个文件上传 14
为Active Record中的add_column和add_index添加唯一:true 13
在Rails中"return render"vs"render ... and return" 13
link_to标记在同一页面rails 3上 10
难疑归档
如何重命名本地Git分支? 8033
方法和函数之间有什么区别? 1665
为什么++ [[]] [+ []] + [+ []]返回字符串"10"? 1613
如何在Python中删除尾部换行符? 1593
单击div到底层元素 1500
如何在Python中追加文件? 1446
检查Bash shell脚本中是否存在输入参数 1223
CSS calc()函数中的Sass变量 1182
如何通过对象中的属性对List <T>进行排序 1146
如何向给定元素添加类? 1109