一尘不染

如何关闭仅适用于JSON的railsprotect_from_forgery过滤器

ajax

我有使用Rails3构建的网站,现在我想实现JSON
API来访问移动客户端。但是,由于protect_from_forgery过滤器,从客户端发送json发布请求。因为客户端不会从服务器检索任何数据,所以客户端无法接收auth_token,所以我只想对json请求关闭protect_from_forgery选项(我以为rails3默认会这样做,但显然不会)

我知道这里讨论了类似的话题,但是在那种情况下,他在发送发布请求之前收到auth_token。

所以我的问题是仅对json关闭protect_from_forgery是这样做的好方法吗?如果是,该怎么办?如果没有,那有什么选择?

仅供参考,我使用以下ajax请求

$.ajax({
             type: 'POST',  
             url: "http://www.example.com/login.json",  
             data: { 'email': emailVal, 'password': passwordVal },  
             success: onSuccess,  
             error: onError,  
             dataType: "json"  
});

并且我收到ActionController :: InvalidAuthenticityToken错误。

顺便说一句,下面的curl命令虽然有效…

curl -H "Content-Type: application/json" -c cookies.txt -d '{"email": emailVal, "password": passwordVal}' -X POST http://www.example.com/login.json -i

阅读 173

收藏
2020-07-26

共1个答案

一尘不染

看一下这篇文章:http: //zadasnotes.blogspot.com/2010/11/rails-3-forgery-csrf-
protection-for.html [
archive.org ]

更新资料

此后该文章已被删除,因此我进行了快速搜索,发现该文章的原始作者在SO上发布了此问题。

2020-07-26