En lugar de simplemente completar el formulario en HTML, también debería ser posible enviar una solicitud de publicación que contenga los parámetros. ¿Es posible desactivar el token de autenticidad si, por ejemplo, el indicador Aceptar está establecido en 'application/JSON 'en el encabezado HTTP?¿Apagar el token de autenticidad en Rails 2 para servicios web?
Las obras de protección contra falsificación de petición sobre la base de verificar el tipo de contenido de las solicitudes y solo verifica las solicitudes que puede realizar un navegador. Ningún navegador puede generar una solicitud con el tipo de contenido establecido en "aplicación/json", por ejemplo. Es por eso que la rutina de protección contra falsificación de rieles no lo controlará. Entonces, si desea hacer una solicitud json a su aplicación, establezca el encabezado de tipo de contenido en "application/json" y debería funcionar.
¿No sería más fácil simplemente agregar el token de autenticidad a cada solicitud json?
Sí, pero entonces el cliente tendría que enviar una solicitud de primera sólo para obtener el token y luego otro con la solicitud POST real, que no tiene sentido en mi humilde opinión ..