是否使用了以下不良做法,是否会将您的控制器操作暴露给 CSRF 攻击?
match ':controller(/:action(/:id))(.:format)'
问问题
51 次
1 回答
2
是的。看看verified_request?方法here。
它不验证GET请求的令牌。
您必须在路由中指定 HTTP 动词。
match "something" => "controller#action", :via => :post
于 2012-07-04T10:05:44.323 回答