J'ai une application de rails qui sert certaines API à une application iPhone. Je veux pouvoir simplement publier sur une ressource sans me soucier d'obtenir le bon jeton CSRF. J'ai essayé certaines méthodes que je vois ici dans stackoverflow mais il semble qu'elles ne fonctionnent plus sur les rails 3.
Merci de m'aider.
Réponses:
Dans le contrôleur où vous souhaitez désactiver CSRF, le contrôle:
skip_before_action :verify_authenticity_tokenOu pour le désactiver pour tout sauf pour quelques méthodes:
skip_before_action :verify_authenticity_token, :except => [:update, :create]Ou pour désactiver uniquement les méthodes spécifiées:
skip_before_action :verify_authenticity_token, :only => [:custom_auth, :update]Plus d'informations: RoR Request Forgery Protection
Dans Rails3, vous pouvez désactiver le jeton csrf dans votre contrôleur pour des méthodes particulières:
protect_from_forgery :except => :create ApplicationController. La réponse de Mike Lewis ci-dessous ( skip_before_filter :verify_authenticity_token) est de savoir comment le désactiver par contrôleur, en supposant que le contrôleur hérite de ApplicationController.
Avec Rails 4, vous avez désormais la possibilité d'écrire au skip_before_actionlieu de skip_before_filter.
# Works in Rails 4 and 5
skip_before_action :verify_authenticity_tokenou
# Works in Rails 3 and 4 (deprecated in Rails 4 and removed in Rails 5)
skip_before_filter :verify_authenticity_token