protect_from_forgery默认Rails6应用程序不包含在我的应用程序Controller中，但是有嵌入式ruby​​在主应用程序布局中。这是否意味着protect_from_forgery方法已经被抽象并且在应用程序Controller中不再明确需要？我买了实用程序员的Rails6一书，我唯一能找到的是“csrf_meta_tags()方法设置了防止跨站点请求伪造攻击所需的所有幕后数据”。 最佳答案 对于rails5.2和更高版本，默认情况下在ActionController::Base上启用。查看此提交:https

rails中是否有任何规定允许站点的所有AJAXPOST请求在没有authenticity_token的情况下通过？我有一个调用Controller方法的JqueryPOSTajax调用，但我没有在其中放置任何真实性代码，但调用成功。我的ApplicationController确实有'request_forgery_protection'并且我已经改变了config.action_controller.consider_all_requests_local在我的environments/development.rb中为false我还搜索了我的代码以确保我没有重载ajaxSend来发送

我想使用两种不同的protect_from_forgery策略构建一个Rails应用程序:一种用于Web应用程序，一种用于API。在我的应用程序Controller中，我有这行代码:protect_from_forgerywith::exception为了防止CSRF攻击，它工作得很好。在我的API命名空间中，我创建了一个继承self的应用程序Controller的api_controller，它是API命名空间中所有其他Controller的父类，我将上面的代码更改为:protect_from_forgery:null_session.遗憾的是，我在尝试发出POST请求时遇到错误:“

我正试图在Rails中获得完整的页面缓存，但我在CSRF方面遇到了很大的障碍——或者可能只是我对它的理解。我目前有form_authenticity_token存储在cookie中的字符串，JS可以使用该cookie访问和重写header标签。我在生成的HTML中有两个地方可以找到标记:1)在头部2)在表单的隐藏输入元素中如前所述，这些哈希值彼此不同(在未启用缓存的开发模式下)。他们为什么不同？为什么我可以删除headmeta标签并保留表单输入并且允许请求​​？然而，当我删除表单输入标签并保留标题时，请求被拒绝了吗？实际上这意味着head标签是无用的，不是吗？我可以将表单输入标签重写为

我正在开发一个简单的网站，让管理员提出问题并让用户解决问题。我在管理部分使用ActiveAdmin，在用户解决部分使用简单的AJAX调用。起初尝试通过ActiveAdmin::Devise登录是成功的，但无法退出。我删除了所有cookie，从那时起我无法在没有CSRFtoken真实性异常的情况下进行POST操作。我的application.html.erb头部有正确的meta_tags，声明为jquery_ujs(其他线程说这是一个常见问题)，并且在两个POST操作中都存在真实性token。我什至尝试通过skip_before_filter:verify_authenticity_to

在我的Rails应用程序中，我在发送到api的ajax帖子中收到“警告:无法验证CSRFtoken真实性”。app/views/layouts/application.html.haml:!!!%html%head=stylesheet_link_tag"application",:media=>"all"=javascript_include_tag"application"=csrf_meta_tags%body=yieldajaxpost:$.ajax({url:'#{card_credits_path}',type:'POST',beforeSend:function(xhr)

我正在使用Sinatra框架在ruby​​中构建一个简单的应用程序。它主要基于“获取”——大多数请求将用于列出数据。但是，应用程序中有几个关键屏幕将收集用户输入。我想确保该应用尽可能安全，目前，我正在尝试寻找如何实现您在Rails表单中获得的那种真实性token？我要去的地方:好吧，我知道我需要csrf的token，但我不确定我是否需要自己生成它们，或者Sinatra是否可以为我生成它们-我已经查看了文档，他们说Sinatra正在使用机架保护，但是，我找不到它的任何示例代码，而且似乎无法弄清楚如何让它继续-任何帮助表示赞赏-谢谢! 最佳答案

我明白了OmniAuth::Strategies::OAuth2::CallbackErrorat/auth/google/callbackcsrf_detected|CSRFdetected我的代码:require'sinatra'require"sinatra/json"require"sinatra/config_file"require'omniauth-oauth2'require'omniauth-google-oauth2'useRack::Loggerconfig_file"config/app_config.yml"useRack::Session::Cookie,s

当CSRFtoken不匹配时，Rails会引发一个InvalidAuthenticityToken。但是，通过阅读source，我无法弄清楚这实际上是如何发生的。我首先确认该类的树:$ack--ignore-dir=testInvalidAuthenticityTokenactionpack/lib/action_controller/metal/request_forgery_protection.rb4:classInvalidAuthenticityToken:unprocessable_entity只有两次点击，忽略评论。第一个是类定义:classInvalidAuthenti

我现在正在使用RubyonRails开发网络API。当Rails应用程序收到没有任何csrftoken的POST请求时，将出现以下错误消息。因为该应用没有View。WARNING:Can'tverifyCSRFtokenauthenticity所以我的问题是在这种情况下如何安全地逃避csrftoken检查？非常感谢您。 最佳答案 你可以通过添加skip_before_filter:verify_authenticity_token到你的Controller。这样，所有传入Controller的请求都会跳过:verify_authen