Rails 使用移动应用程序来保护免受伪造

Question

我正在 Rails 上构建一个应用程序，并且我的 application.rb 中有 protect_from_forgery。我还为移动应用程序构建了一个 RESTful API，以便使用 JSON 数据进行通信。我看到一些网站声称，为了让移动应用程序与 Rails 应用程序交互，他们关闭了 JSON 请求的 protect_from_forgery 。

这如何解决CSRF问题？恶意网站不能有代表用户执行不需要的更改的 JSON POST 请求吗？

因此，为了解决这个问题，我决定使用自定义的mime-type或者只有移动应用程序才会使用的特殊密钥，然后使用protect_from_forgery 执行以下操作：

1. 检查 csrf 令牌是否作为 hidden div 出现（对于 Web 应用程序为 true，默认情况下包含）。
2. 如果不存在，请检查此特殊密钥或mime-type。

有没有办法实现这个或类似的来解决这个问题？

更新

原来是我想多了。 Rails 是“神奇的”，它以某种方式自动且适当地处理来自移动应用程序的请求，而不会引发异常。所以，本质上我们根本不需要做任何修改。

我并没有完全检查 Rails 是如何实现这一点的——从教学角度来说，这对于某些人来说可能仍然很有趣。

Answer 1

您不必使用 ActiveResources。如果您以 xml 形式发送请求，那么它将绕过 protected_from_forgery。

curl -H "Content-Type: text/xml" -d "<support-request><from>...</from></support-request>" -X POST http://localhost:3000/support_requests.xml -i

它应该非常简单。