Rails 开发小程序时，怎么处理 CSRF 的问题？

QueXuQ · 2019年05月16日 · 最后由 ad583255925 回复于 2019年05月23日 · 3931 次阅读

我用的是：

gem "graphql"
gem 'graphiql-rails', group: :development

官方也有解决 CSRF 的方法。

headers: {
     'X-CSRF-Token': $("meta[name=csrf-token]").attr("content"),
 }

可是在小程序项目中，比较另类。
不知道各位怎么处理这个问题的呢？难道直接把 CSRF 关掉？

jasl #1 2019年05月16日

API 模式下都可以关掉 CSRF

w7938940 #2 2019年05月16日

Gemfile gem 'rack-cors'

config/initializers/cors.rb

Rails.application.config.middleware.insert_before 0, Rack::Cors do
allow do
origins '*'

resource '*',
headers: :any,
  methods: [:get, :post, :put, :patch, :delete, :options, :head]
end
end

2 个赞

zouyu #3 2019年05月19日

对

w7938940 回复

你这是跨域

luikore #4 2019年05月20日

凡用 token 验证的，都不需要 CSRF

另外由于大部分浏览器支持 Origin，现在服务器验证 Origin 对不对就可以了，也不用 CSRF token 了

2 个赞

msl12 #5 2019年05月22日

对

luikore 回复

origin可以篡改的吧？

luikore #6 2019年05月22日

对

msl12 回复

按标准实现的浏览器会把请求中的 Origin 替换掉

ad583255925 #7 2019年05月23日

第一次请求服务器的时候，把 CSRF token 拿过来

需要登录后方可回复, 如果你还没有账号请注册新账号