iphone 애플리케이션에 일부 api를 제공하는 레일 앱이 있습니다. 정확한 csrf 토큰을 얻으 려하지 않고 리소스에 게시 할 수 있기를 원합니다. 나는 stackoverflow에서 여기 보이는 몇 가지 방법을 시도했지만 그들은 더 이상 레일 3에서 작동하지 않는 것 같다. 도와 주셔서 감사합니다.레일 3에서 CSRF 토큰 끄기
당신이 CSRF를 체크 해제 할 컨트롤러에서답변
:
skip_before_action :verify_authenticity_token
또는 몇 가지 방법을 제외한 모든 위해를 비활성화 :
skip_before_action :verify_authenticity_token, :except => [:update, :create]
또는 단지 지정 방법을 비활성화 :
를skip_before_action :verify_authenticity_token, :only => [:custom_auth, :update]
자세한 정보 : RoR Request Forgery Protection
Rails3에서 당신은 특정 방법에 대한 컨트롤러의 CSRF 토큰을 사용하지 않도록 설정할 수 있습니다 : 레일 4
protect_from_forgery :except => :create
누구나 읽을 수 있듯이, 이것이'ApplicationController'에 들어 있어야한다는 점에 유의하십시오. 아래의 마이크 루이스 (Mike Lewis) 응답 ('skip_before_filter : verify_authenticity_token')은 컨트롤러가'ApplicationController'를 상속 받았다고 가정 할 때 컨트롤러별로이를 비활성화하는 방법입니다. – NudeCanalTroll
안전하지 않은 것 같습니다. http://stackoverflow.com/questions/10676018/security-safe-to-disable-csrf-tokens-for-json-rails-calls. 어떻게 생각해? 그렇지? – juanpastas
@NudeCanalTroll 당신이 컨트롤러가 작동하지 않을 곳에서 이것을 넣는 것을 의미합니까? – BlackDivine
, 당신은 지금 skip_before_action
대신 skip_before_filter
쓸 수있는 옵션이 있습니다.
# Works in Rails 4 and 5
skip_before_action :verify_authenticity_token
또는
# Works in Rails 3 and 4 (deprecated in Rails 4 and removed in Rails 5)
skip_before_filter :verify_authenticity_token
다른 점은 무엇입니까? –
올바르게 기억한다면 필터는 사용되지 않습니다. – nruth
- 1. CSRF 및 변경 토큰
- 2. 아약스의 CSRF 토큰
- 3. CodeIgniter의 CSRF 토큰 문제
- 4. CSRF 토큰 - 올바르게 구현하는 방법?
- 5. csrf 토큰 : CSRF 공격이 감지되었습니다. 백엔드 용으로 만 생산
- 6. 레일 3 정품 인증 토큰
- 7. CSRF 유효성 검사 토큰 : 세션 ID가 안전합니까?
- 8. 레일, OAuth 및 CSRF 보호
- 9. 레일 3 액티브은 ... 레일 3에서
- 10. a) CSRF 토큰 + SSL이없는 HTTP 인증 또는 b) devise가있는 CSRF 토큰이 필요합니까?
- 11. 세션에서의 OAuth 토큰 (레일)
- 12. 고안 + Omniauth [경고 : 확인할 수 없습니다 CSRF 토큰 인증] 즉,
- 13. 레일 3에서 라우팅 : 옵션이있는지도?
- 14. restful_authentiation은 레일 3에서 작동합니까?
- 15. 레일 3에서 오류가 번역
- 16. 레일 앱에서 CSRF 보호 기능을 끄려면 어떻게해야합니까?
- 17. 선택적으로 레일 3의 Devise의 플래시 공지를 끄기
- 18. 무료 루비 예약 작업 (레일 끄기) 호스팅?
- 19. Django : 페이스 북에서 CSRF 토큰 누락 'signed-request'게시
- 20. PDF 첨부 레일 3에서 rails3
- 21. 레일 3에서 Ajax로 에러 처리하기
- 22. 레일 3에서 activerecord 객체 정렬
- 23. symfony로 CSRF 보호
- 24. django CSRF 유효성 확인
- 25. 레일스 3에서 기본 DOCTYPE은 HTML 5이지만 <meta name = "csrf-param"content = "authenticity_token"/>을 사용합니까?
- 26. 레일 신뢰성 토큰 및 페이스 북
- 27. 는 응용 프로그램에서 토큰 라이브 긴 레일
- 28. 레일 3에서 사용자 정의 도우미 메소드에 액세스
- 29. 레일 3에서 어떻게 link_to에 텍스트와 이미지가 있습니까?
- 30. 레일 3에서 radio_button 값을 읽는 방법은 무엇입니까?
이 일반 브라우저 접근 양식 및 API 엔드 포인트의 혼합이 애플 리케이션을위한 정답입니다. Markus Proske의 대답은 앱에 브라우저 액세스 가능 형식을 사용하지 않을 것이라는 확신이 있다면 정확합니다. –
정확히 어디로 가나 요? 어떤 보석의 컨트롤러 부분이라면 어떨까요? –