我有一个现有的rails后端网站,它使json调用服务器.现在,我正在开发一个移动iOS应用程序,以使用相同的后端并在json中发送调用.但是,移动请求失败了:
WARNING: Can't verify CSRF token authenticity
搜索stackoverflow,许多人建议通过使用这样的方法禁用csrf检查json调用:
# Or this in your application_controller.rb
def verified_request?
if request.content_type == "application/json"
true
else
super()
end
end
但我的问题是,我不明白这是如何防止json格式的csrf攻击?攻击者总是可以从他们的站点向我们的端点发送json请求.任何人都有这方面的见解?我找不到任何明确的答案.