不仅可以用HTML填写表单,还应该只发送包含参数的发布请求。.例如,如果Accept标志设置为'application / JSON',是否可以关闭真实性令牌?在HTTP标头中?
最佳答案
请求伪造保护在检查请求的内容类型的基础上起作用,并且仅检查浏览器可以发出的请求。例如,没有浏览器能够生成内容类型设置为“ application / json”的请求。这就是为什么Rails伪造保护例程不会对其进行检查的原因。因此,如果要向应用程序发出json请求,请将content-type标头设置为“ application / json”,它应该可以工作。
关于ruby-on-rails - 要在Rails 2中关闭Web服务的真实性 token 吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/348976/