Tengo dos aplicaciones que necesitan comunicarse entre sí a través de HTTP. Una es una aplicación PHP y la otra es mi aplicación principal, la aplicación Rails. Necesito la aplicación PHP para hablar con la aplicación Rails al enviar datos a ella, pero cuando lo hago, recibo el error Token de autenticidad no válido. ¿Hay alguna manera alrededor de esto? ¿O cómo solo crearía mi propio token para pasar el POST para que mi aplicación Rails se autentique?Rails 3 protect_from_forgery problems
6
A
Respuesta
15
Desde el documentation for ActionController::RequestForgeryProtection::ClassMethods
Puede omitir el requisito token de autenticación, ya sea mediante la especificación y: a excepción o forzando el filtro antes de que hay que saltar .... Ejemplo de la documentación ...
class FooController < ApplicationController
protect_from_forgery :except => :index
# you can disable csrf protection on controller-by-controller basis:
skip_before_filter :verify_authenticity_token
end
Cuestiones relacionadas
- 1. Rails 3 Mysql Problems
- 2. Rails 3 protect_from_forgery no funciona correctamente?
- 3. ¿Es realmente útil el protect_from_forgery de Rails?
- 4. protect_from_forgery y discreto Javascript
- 5. Glew problems,
- 6. Python Lambda Problems
- 7. Rails 3: HTTP_USER_AGENT
- 8. Rails 3 - Validación personalizada
- 9. Rails 3 has_one enrutamiento
- 10. Rails 3 new_record? obsoleto
- 11. Rails 3 has_many changed?
- 12. Rails 3 y FCGI?
- 13. Rails 3 Modificación updated_at
- 14. Rails 3 en dreamhost?
- 15. Timezone with rails 3
- 16. Rails 3 Recomendación CMS
- 17. Rails 3 find_or_create_by
- 18. Rails 3: f.select - options_for_select
- 19. Rails 3 Timezone error
- 20. bash_completion para Rails 3
- 21. Rails 3 y validate_on_create
- 22. Rails 3: rutas subdominio
- 23. Rails 3 autocarga
- 24. Rails 3 Sandbox consola
- 25. Rails 3 Codificación :: CompatibilityError
- 26. cache_money for Rails 3
- 27. Releasedate for Rails 3
- 28. Rails 3 serializar
- 29. Rails 3 - entorno establecido
- 30. Rails 3 DISTINCT QUERY
¿No sería mejor buscar el token de autenticidad en una solicitud de obtención separada y luego usarlo para publicar el formulario usando PHP? ¿Deshabilitar el token no es un problema de seguridad? – Alex
Acepto, no debe deshabilitar la protección para Índice y POST. Cualquiera que intente hacer esto debe seguir la sugerencia de Alex o al menos usar una acción diferente y colocar algún otro tipo de seguridad, como aceptar solicitudes provenientes solo de una IP conocida, utilizando request.remote_ip para descartar direcciones IP no deseadas. – martincho