ruby-on-rails - 在 ruby on rails 设计中，设置 config.http_authenticable_on_xhr = false 会导致跨站点请求伪造吗？

问问题 2013-08-04T20:18:48.773

1159 次

4

这篇文章提供了一个关于如何使用 devise 和 rails 使用 ajax 登录的教程。 http://natashatherobot.com/devise-rails-sign-in/

其中一项更改是设置 config.http_authenticable_on_xhr = false

我的朋友告诉我，这会导致跨站点请求伪造，但他不知道为什么。有谁知道这是不是真的，为什么？

1 回答 1

2

不，此修改不会导致 CSRF。它只是告诉 Devise 对于 AJAX 请求应该返回（或不返回）HTTP 标头。

于 2013-08-05T07:52:05.347 回答