重构为 RubyAmf Rails 后似乎并没有抱怨authenticity_token

Question

我正在构建 Flex 4 + Rails 2.3.5 应用程序。首先，我使用 XML 来传递日期，并且曾经收到一个错误，抱怨真实性令牌，然后我手动传递该令牌来解决该错误。

之后，我重构了我的代码以使用 RubyAmf，这似乎可以工作，但我一开始没有传递authenticity_token，但我注意到 Rails 没有抱怨并且请求通过了。我的应用程序仍然未注释 protected_from_forgery。

RubyAmf 是否会以某种方式绕过它？

谢谢，

谭

Answer 1

Ruby AMF 直接调用控制器操作，并在序列化到 AMF 后返回结果。这与首先​​通过路由器的标准 HTTP 请求的工作方式相反。

Answer 2

我相信伪造保护不会针对 GET 请求触发，只会针对 POSTS、DELETE 和 PUT 触发。也许您正在测试的场景正在执行 GET 请求？

Answer 3

更详细地解释 camwest 的答案：

当您向 articles_controller、update 操作发出 AMF 请求时，该请求实际上不会发送到该控制器并直接采取行动。此 AMF 请求（这是一个 POST 请求）实际上通过 Rails 路由器到达 rubyamf_controller、gateway 操作（AMF 端点）。目标控制器和操作（articles_controller、update 操作）被标记为此 POST 请求的参数。

此 POST 调用上设置的 mime_type 为 amf。 RubyAMF 插件将此 mime_type 添加到不检查伪造保护的 mime_type 列表中。因此，即使没有 authenticity_token，对 rubyamf_controller、gateway 操作的调用也会成功完成。

从 Flex 中，您可能已向 articles_controller、update 操作发送了一些参数。它们作为序列化的 AMF 对象到达gateway 操作。这些参数在这里被反序列化。

然后，gateway 操作在内部调用目标控制器和操作（articles_controller、update 操作）。目标操作执行其任务并返回响应。 gateway 操作获取此目标操作的响应，将其序列化为 AMF 并将其发送回客户端。

在 Rails 2.x 中，此内部调用不会调用伪造保护机制。因此，即使您不将 authenticity_token 作为参数之一发送到目标操作，它也可以正常工作。

这在 Rails 3 中发生了变化。甚至内部调用也会调用伪造保护机制。目标操作检查是否存在 authenticity_token 参数。因此，您需要从 Flex 发送它。

更多信息请参见：http://anjantek.com/2011 /05/08/rails-3-rubyamf-f​​lex-csrf-解决方案/