1

这是一个相当主观的问题。我正在寻找专家意见,因为这是我第一次构建企业 Rails 应用程序。

我决定让我的网站完全基于 AJAX,而且我根本不使用 Rails AJAX 助手。原因是:我是 Web 开发的新手,我想知道我正在编写的代码背后发生了什么。

此外,这是一个相当大的基于仪表板的分析应用程序,我绝对没有使用任何 erb 标签。所有数据都使用 AJAX 来来去去。

所以,每当我需要任何数据时,我都会写一个这样的rails路线

match "people/all" => "people#all"

respond_to do |format|
    format.json { all json is rendered here }
end

POST 调用也是如此。

我做对了吗?

接下来我要做的是添加 CSRF 令牌安全性(如果不匹配,控制器将不发送 AJAX)

我还在这个项目中为移动应用程序开发了一个 API,但该 API 受密钥保护。

我知道可能像 ember 或微框架之类的东西可能是更好的选择,但我选择了 rails,因为我的应用程序将有很多功能,所以我坚持使用 rails 而不是潜入另一个框架。

所以,

  1. 在没有erb标签的情况下制作rails视图并使用AJAX做所有事情在某种程度上是不是很糟糕?

  2. 我的应用程序会以任何方式易受攻击吗?

谢谢。

4

1 回答 1

1

你不应该自己做这些,Rails 会为你做这些,包括处理 CSRF 令牌。您的应用程序控制器应该已经这样做了。

resources :people在您的路线中使用。“让所有人”的途径应该只是/people,而不是/people/all

检查脚手架生成的控制器,以确定您的路由应如何映射到七个默认的 RESTful 操作。

于 2012-10-29T15:27:08.877 回答