禁用 CSRF SiteWide

2023-12-30

有没有办法为所有控制器禁用 CSRF，或者是否必须在每个控制器上禁用它？我仅使用 ruby on Rails 作为 API，不需要任何类型的 CSRF，因为请求不是基于会话的。我想仅禁用 JSON 请求。

我相信这可能有效，但我不确定

class ApplicationController < ActionController::Base
  # Prevent CSRF attacks by raising an exception.
  # For APIs, you may want to use :null_session instead.
  protect_from_forgery
  skip_before_action :verify_authenticity_token, if: :json_request?

#Checks format for json
protected
  def json_request?
    request.format.json?
  end

end

与 Rails 中的许多功能一样，禁用基本控制器中的某些功能会在所有派生控制器中禁用它。要完全关闭 CSRF，请在 ApplicationController 中禁用它：

skip_forgery_protection

This is 的别名 https://api.rubyonrails.org/classes/ActionController/RequestForgeryProtection/ClassMethods.html:

skip_before_action :verify_authenticity_token

The skip_before_action http://api.rubyonrails.org/classes/AbstractController/Callbacks/ClassMethods.html#method-i-skip_before_action方法确实具有自定义其应用方式的选项，因此您可以缩小对此的关注范围：

skip_before_action :verify_authenticity_token, unless: csrf_required?

正如您所展示的，您可以定义一种方法来限制它。如果该方法返回true该操作会照常执行，否则会被跳过。

编写 API 时，通常使用 API::BaseController 作为中间控制器，这样您就可以将基于会话的活动与基于 API 的活动分开。例如：

class API::BaseController < ApplicationController
  skip_before_action :verify_authenticity_token
end

然后从该控制器派生所有特定于 API 的控制器。即使在主要由 API 驱动的应用程序中，您也可能需要一个带有表单提交的传统“注册”页面，或者一个能够编辑和更新内容的管理区域。

我发现的一种选择是在提供 API 密钥的情况下禁用 CSRF 保护。例如：

def csrf_required?
  params[:api_key].blank?
end

这意味着您仍然可以接受传统的“表单编码”或 XML API 调用。如果您的 API 密钥是通过标头提供的（如某些要求所示），您可以对其进行调整以进行测试request因此。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

禁用 CSRF SiteWide 的相关文章

Rails“where”方法通过子属性查找父级

我有一个 Rails 应用程序我试图根据子类的日期创建父类的列表现在我有 orders Order where order reminders date lt 1 month from now 但我收到一个错误没有这样的列 order
从表单中选择枚举以设置角色

Ruby on Rails 4 1 我正在将 Devise 与枚举角色一起使用目前它在创建用户时使用默认角色我想在创建用户的表单中添加一个字段来设置枚举角色 I read this https github com RailsApps
factory_girl + rspec 似乎并没有在每个示例后回滚更改

类似于这里描述的问题 http rpheath com posts 411 how to use factory girl with rspec http rpheath com posts 411 how to use factory g
从标记访问 json 属性 - gmaps4rails

我正在升级到 gmaps4rails v2 我似乎无法从 javascript 访问标记 json 属性这在我使用的先前版本 1 5 6 中有效具体来说内置控制器 users User all hash Gmaps4rails bui
使 case/switch 返回值的快捷方式

我很确定我看到有人做了像下面的代码这样的快捷技术这不起作用 return case guess when guess gt answer then high when guess lt answer then low else corre
Rails Structure.sql 和 schema.rb 之间有什么区别

我知道 schema rb 文件是一个 ruby 文件它是在运行 rake 迁移时创建和修改的但是 Structure sql 呢我在一些项目中看到了 schema rb 在其他项目中看到了 Structure sql 以及在一些这两
新 Rails 应用程序出现问题

我刚刚创建了一个新的rails应用程序在CL上使用rails new 我使用的是4 2 6 但似乎在我对应用程序执行任何操作之前我遇到了错误 first config environments development rb 53 in
watir selenium：浏览器构造函数无法识别的参数

在我的 Rails 应用程序中我有一个 nokogiri watir 爬虫运行良好在我升级了 gems 也升级了例如 selenium 后当我使用以下命令打开爬虫浏览器时 BROWSER OPTIONS w headless no
从使用heroku发送的邮件中删除“via sendgrid.me”

我正在使用免费的 sendgrid 计划从 Heroku 上托管的 Rails 应用程序发送电子邮件我使用以下组合进行设置这些说明 http devcenter heroku com articles sendgrid and 本教程 h
如何从另一个 .rb 文件访问模块内和类内的 Ruby 方法

我想知道如何从另一个 rb 文件访问此模块中的方法 module Decisioning module Decision class OfferProxy lt FinanceApplication Offer def my method
C 编译器无法在 Mac OS Mountain Lion 上创建可执行文件

我几乎浏览了每一页但所有提示都不能解决问题我正在运行 Mountain Lion 我有 Xcode 所有最新的开发工具最新的 GCC 等等我正在尝试设置 rbenv 和 ruby build 一切似乎都正常但是当我去安装 ruby
Rails 未定义“2013-03-06”的方法“strftime”：字符串

我收到错误 2013 03 06 的未定义方法 strftime 字符串当尝试使用 strftime 从字符串 2013 03 06 正常显示日期 2013 年 6 月星期日 3 日或类似的日期时在我的 index html erb
PHP中如何有效防止跨站请求伪造（CSRF）

我正在努力阻止CSRF https www owasp org index php Cross Site Request Forgery CSRF in php questions tagged php通过以下方式 A SESSION to
Ruby on Rails 中的垃圾收集器？

我尝试在 Google 上搜索很多有关 Rails 垃圾收集器的信息但没有得到可靠的答案有谁有资源来展示如何垃圾收集是在 Rails 中实现的吗我们怎样才能控制它呢 Rails 是一个框架而不是一种语言 Rails 背后的语言称为
ruby on Rails“usr/bin/env：‘ruby2.3’：没有这样的文件或目录”

我打字时遇到问题bundle exec rake db migrate在终端上然后我收到了类似 usr bin env ruby2 3 No such file or directory 的结果我遇到了同样的问题但是运行时 rails
如何在heroku上运行一个简单的文件

假设我已经在 github 上安装了 Rails 应用程序并且正在 heroku 上部署 github 存储库我遇到过这样的情况我有一个包含一堆单词的简单文本文件它在我的 github 存储库中我想将这些单词使用简单的 ruby
Rails - 如何重写设计 SessionsController 以在用户登录时执行特定任务？

使用 Devise 管理用户会话注册每次用户登录时以及在他被 devise 重定向到连接的主页之前我需要执行特定任务例如更新该特定用户的用户表中的某些字段用户我是否必须重写 devise SessionsController
如何使用 Nokogiri 将带有 & 符号的字符串放入 xml 文件中？

我试图在 XML 文件中包含图像的 URL 并且 URL 查询字符串中的符号被删除 bgdoc xpath Master each do elem part elem xpath Part inner text image imageha
Rails I18n 翻译范围

编写完全翻译的应用程序可能会变得乏味有没有办法为当前上下文设置默认翻译范围示例我正在部分内容中写入 deadlines html erb in the 显示 html erb我的行动ProjectsController 现在因为我想
如何创建下载链接

创建下载链接的最佳方法是什么还有比下面更好的方法吗我正在考虑使用link to Download controller gt action gt id gt 视图中 Adding match documents download id

随机推荐

如何在 Angular 7 中禁用目标 cdkDropList 中的元素移位/移动

我有 2 个列表左侧的首都城市和右侧的国家地区我希望能够将首都移至国家列表中并允许用户将首都移至该国家地区问题是国家地区列表元素开始移动移动以允许插入大写字母但我只想放在顶部如果匹配请提供一条消息并从两个列表中删除城
JSF 2.1 重定向保留错误消息

我有以下命令按钮操作方法处理程序 public String reject Do something addMessage null rejectAmountInvalid FacesMessage SEVERITY ERROR redir
*(int*)NULL = 1 导致线程崩溃；有问题吗？

我在多线程 C 应用程序中发现了这个作者评论说它用于在自定义断言函数中造成线程崩溃 GCC 对此没有问题但 clang 发出以下警告 note consider using builtin trap or qualifying poin
按多个字段对对象列表进行排序[重复]

这个问题在这里已经有答案了我有一个 Java 对象列表我想根据多个字段对其进行排序 public class graduationCeremony String campus String faculty String building
声纳跑步者 404 本地主机

我正在尝试让 Sonar 在 OS X 机器上本地工作以进行一些概念验证工作我已经下载了以下内容声纳库 4 5 6 声纳跑步者 2 4 Sonarqube 配置为 sonar web host localhost sonar web c
如何使用外键从2个表中获取所有数据

这是将单个表分成两部分的结果 Table users user id pk ai email password last login Table data user id fk to users user id data 1 data 2
Linux中通过perf为未列出的函数添加动态跟踪点

我正在尝试跟踪功能zap pte range来自 mm memory c 使用perf 但功能并未在其中列出perf probe F 那么有没有办法动态追踪这个函数呢 IE 显式添加跟踪点并重新编译内核 perf probe a zap p
创建具有不同行尺寸的表

假设我有一张这样的表 data lt c 1 2 3 6 5 6 9 LC LC HC HC LC HC ALL attr data dim lt c 7 2 data 1 2 1 1 LC 2 2 LC 3 3 HC 4 6 HC 5 5
如何对向量中的每个项目进行操作并引用 Clojure 中的先前值？

Given def my vec a foo b 10 a bar b 13 a baz b 7 如何迭代每个元素以打印该元素的 a 以及到该点的所有 b 的总和那是 foo 10 酒吧 23 巴兹 30 我正在尝试这样的事情但无济于事
如何解决-无法在AWS lambda控制台中的模块外部使用导入语句

我正在 AWS lambda 控制台中尝试此操作我已经在终端上安装了 npm install aws sdk client kinesis 并使用压缩文件并创建了一个具有 client kinesis 的 lambda 层如果使用以下内
selenium.common.exceptions.WebDriverException：消息：尝试使用 Selenium 和 Python 单击元素时无法将数据转换为对象

我登录后尝试单击页面上的按钮该按钮是以下 HTML div div
使用 pymongo 读取和更新 mongodb 文档的最佳方法

我试图逐个读取 mongodb 集合文档以获取每条记录加密记录中的一些字段并将其放回数据库 for record in coll find modifying record here coll update record 这导致了一个严
将创建的文档结果转换为 POCO

我有以下代码调用 DocumentDB 并创建一个新的 Employee 文档然后如何将结果再次转换为员工文档基本上我想捕获创建的文档并将其转换为 Employee 对象 var result await client CreateD
在 Woocommerce 购物车结账和订单中禁用特定产品的商品名称链接

我希望禁用购物车中特定产品的产品页面的产品链接该产品是当购物车小计金额等于特定值时自动添加到购物车的礼品产品我知道可以对所有购物车商品执行此操作但我不太确定如何针对特定项目适用于的新答案所有产品类型对于已定义产品 ID 的数组请在
OWIN 无法启动，并显示“无法访问网络位置”

我尝试在 NET 4 5 控制台应用程序上运行以下代码 var app WebApp Start
使用 Sequelize ORM 插入/更新 PostGis 几何图形

我使用sequelize auto提取了一些PostGis图层的模型给出 module exports function sequelize DataTypes return sequelize define table id type
sbt 查找所请求依赖项的另一个版本

项目 plugins sbt addSbtPlugin org scala js sbt scalajs 0 6 28 addSbtPlugin ch epfl scala sbt scalajs bundler 0 15 0 build
是否可以使用基于父 div 大小而不是行数的 Dojo/Dijit DataGrid 自动高度功能？

我有一个定期更新的数据网格其中的行数随着时间的推移稳步增长它位于父 div 内部高度为屏幕的 60 如果我将自动高度设置为 5 行则该表可以正常工作添加第六行时数据网格中会出现一个滚动条我可以向上向下滚动并且标题保持固定在
进程退出时flock会自动释放吗？

在Linux 中的bash 脚本中我使用flock 命令flock 而不是系统调用flock 来实现文件锁定从而防止共享资源这是tmpfs 中的文件的并发访问我有陷阱处理程序来处理脚本的异常终止 trap rm rf LOCK r
禁用 CSRF SiteWide

有没有办法为所有控制器禁用 CSRF 或者是否必须在每个控制器上禁用它我仅使用 ruby on Rails 作为 API 不需要任何类型的 CSRF 因为请求不是基于会话的我想仅禁用 JSON 请求我相信这可能有效但我不确定 cla

禁用 CSRF SiteWide

禁用 CSRF SiteWide 的相关文章

随机推荐

热门标签