不仅仅是在 HTML 中填写表单,还应该可以只发送包含参数的 post 请求。例如,如果 Accept 标志设置为“application/JSON”,是否可以关闭真实性令牌在 HTTP 标头中?
请求伪造保护的工作原理是检查请求的内容类型,并且仅检查浏览器可以发出的请求。例如,没有浏览器能够生成内容类型设置为“application/json”的请求。这就是为什么 Rails 伪造保护例程不会检查它。因此,如果您想向应用程序发出 json 请求,请将内容类型标头设置为“application/json”,它应该可以工作。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)