Rails 中是否有任何规定允许来自站点的所有 AJAX POST 请求在没有authentity_token 的情况下通过?
我有一个调用控制器方法的 Jquery POST ajax 调用,但我没有在其中放入任何真实性代码,但调用成功。
我的 ApplicationController 确实有“request_forgery_protection”,我已经改变了
config.action_controller.consider_all_requests_local
在我的环境/development.rb 中为 false
我还搜索了我的代码以确保我没有超载 ajaxSend 来发送真实性令牌。
是否有某种机制可以禁用检查?现在我不确定我的 CSRF 保护是否有效。
我正在使用 Rails 2.3.5。
为清晰起见更新:
function voteup(url, groupid){
$.ajax({
type: "POST",
url: "/groups/" + groupid + "/submissions/voteup",
data: "url=" + url,
dataType: 'text',
success: function(data){
var counter = "vote_" + url;
$('#vote_' + url.cleanify()).text(" " + data + " ");
}
});
};
我有一个链接,然后有一个调用上述函数的'href:
<a href='javascript:voteup(param1,param2)'>...</a>