8

我有使用 Rails3 构建的网站,现在我想为移动客户端访问实现 json API。但是,由于protect_from_forgery 过滤器,从客户端发送json post 请求。因为客户端不会从服务器检索任何数据,所以客户端无法接收 auth_token 所以我想只为 json 请求关闭protect_from_forgery选项(我认为rails3默认会这样做,但显然它没有) .

我知道在这里讨论了类似的主题,但在这种情况下,他在发送发布请求之前收到 auth_token。

所以我的问题是只为json关闭protect_from_forgery是这样做的好方法吗?如果是,该怎么做?如果不是,有什么替代方案?

仅供参考,我使用以下 ajax 请求 

$.ajax({
             type: 'POST',  
             url: "http://www.example.com/login.json",  
             data: { 'email': emailVal, 'password': passwordVal },  
             success: onSuccess,  
             error: onError,  
             dataType: "json"  
});

我得到 ActionController::InvalidAuthenticityToken 错误。

顺便说一句,以下 curl 命令虽然有效......

curl -H "Content-Type: application/json" -c cookies.txt -d '{"email": emailVal, "password": passwordVal}' -X POST http://www.example.com/login.json -i
4

3 回答 3

17

如果它是 json 请求,您可以跳过真实性令牌检查

class ApplicationController < ActionController::Base
  skip_before_filter :verify_authenticity_token, if: :json_request?

  def json_request?
    request.format.json?
  end
end
于 2014-03-28T14:08:39.640 回答
6

将以下代码添加到您的./app/controllers/application_controller.rb

protect_from_forgery unless: -> { request.format.json? }
于 2018-07-18T23:24:55.230 回答
1

您可以在表单中传递authentity_token 字段,而不是禁用CSRF 检查,例如:

<%= hidden_field_tag :authenticity_token, form_authenticity_token %>

http://apidock.com/rails/v2.0.0/ActionController/RequestForgeryProtection/ClassMethods/protect_from_forgery

于 2014-03-23T20:46:41.803 回答