Pregunto esto porque siento que me complica demasiado la vida cuando comienzo a comunicarme con los rieles con ajax o flash.¿Es realmente útil el protect_from_forgery de Rails?
Sé que es bueno protegerse contra CSRF, pero ¿no podría simplemente verificar el referer o algo en su lugar?
Muchos usuarios dicen que puede rechazar su preferencia, la mayoría no la elige.
Pero porque están detrás de un firewall que lo está bloqueando.
Usar la protección contra falsificaciones es la única solución para protegerlo contra el CSRF.
Pero puede desactivarlo para cualquier acción que desee.
En su controlador, se agregan:
skip_before_filter :verify_authenticity_token, :only => :create
Esto se desactivan las token para la verificación de la acción de crear en el controlador donde se ha añadido el filtro.
sry Olvidé aceptar su respuesta en ese momento ^^ – marcgg
En realidad, la pregunta era acerca de si es realmente útil, no sobre cómo desactivarla, así que no creo que esta respuesta deba aceptarse. – SET
@SET: la primera parte de la respuesta explica por qué es útil de todos modos ... –