0

根据 Rails 安全指南,如果您使用protect_from_forgery,所有非GET 请求都包含一个真实性令牌。但是,当我有 Jquery AJAX POST 请求时,我没有将authentity_token 参数视为请求中的参数之一。这是它应该如何工作的吗?

此外,似乎来自会话外部的 POST 请求(在脚本中卷曲)也不需要 authencity_token。

谢谢!

4

1 回答 1

1

Rails 将在 headers 中而不是在 post 数据中发送此参数。您需要包含内置的 rails UJS 库才能使其正常工作。查看请求中的标头,您应该会看到一个名为 X-CSRF-Token 的标头。

于 2013-09-22T16:45:45.237 回答