SORU
20 ŞUBAT 2012, PAZARTESİ


raylar - "UYARI:'t CSRF token özgünlük" olun; json taleplerini hazırlamak

doğru CSRF token almak nasıl mümkün olduğunu biliyor JSON isteği ile geçmek musun?

Güvenlik nedenle şimdi Raylar tüm istek türü (JSON/XML dahil olmak üzere) kontrol CSRF zorlanarak olduğunu biliyorum.

http://weblog.rubyonrails.org/2011/2/8/csrf-protection-bypass-in-ruby-on-rails

Benim denetleyicisi skip_before_filter :verify_authenticity_token geçirebilirim ama CRSF koruma kaybederdim (tavsiye etmiyorum :-) ).

(Hala kabul edilmedi) bu benzer bir soru

Rails/Devise - Creating new users via json request

Önerilir

Retrieve the token with <%= form_authenticity_token %>

Peki nasıl yapıyor? Mesajlarıma ilk görüşmesi yapmak için gereken token almak ve plan ile benim gerçek kimlik doğrulaması gerekiyorsa, o zaman? Ya benim sunucudan almak ve sürekli ben elle sunucusunda değiştirene kadar () kullanın o zaman ben bir bilgi one-off değil mi?

CEVAP
6 NİSAN 2012, Cuma


EDİT:

4 Raylar ben şimdi @genkilabs açıklama aşağıda ne öneriyor kullanın:

protect_from_forgery with: :null_session, if: Proc.new { |c| c.request.format == 'application/json' }

Olan, tamamen güvenlik içinde inşa kapatmak yerine, bir şeyler CSRF token olmadan sunucu vurduğunda, mevcut herhangi bir oturum öldürür.


skip_before_filter :verify_authenticity_token, :if => Proc.new { |c| c.request.format == 'application/json' }

Bu düzgün olarak işaretlenmiş koyar/json mesajlar için CSRF hesabı kapatın.

İOS NSURLRequest nerede şu ortamda örneğin, "parametreler" parametreler:


[request setHTTPMethod:@"POST"];

[request setValue:@"application/json" 
       forHTTPHeaderField:@"content-type"];

[request setValue:@"application/json" 
       forHTTPHeaderField:@"accept"];

[request setHTTPBody:[NSData dataWithBytes:[parameters UTF8String] 
                                            length:[parameters length]]];

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

YORUMLAR

SPONSOR VİDEO

Rastgele Yazarlar

  • julioissk84life

    julioissk84l

    18 ŞUBAT 2008
  • SomeOne Pro

    SomeOne Pro

    25 EKİM 2013
  • William Sledd

    William Sled

    24 EYLÜL 2006