- r - 以节省内存的方式增长 data.frame
- ruby-on-rails - ruby/ruby on rails 内存泄漏检测
- android - 无法解析导入android.support.v7.app
- UNIX 域套接字与共享内存(映射文件)
当我尝试从 RestKit
进行 POST 时,Rails 控制台中出现警告:
Started POST "/friends" for 127.0.0.1 at 2012-04-16 09:58:10 +0800
Processing by FriendsController#create as */*
Parameters: {"friend"=>{"myself_id"=>"m001", "friend_id"=>"f001"}}
WARNING: Can't verify CSRF token authenticity
(0.1ms) BEGIN
SQL (1.7ms) INSERT INTO `friends` (`friend_id`, `myself_id`) VALUES ('f001', 'm001')
(1.1ms) COMMIT
Redirected to http://127.0.0.1:3000/friends/8
Completed 302 Found in 6ms (ActiveRecord: 3.0ms)
这是客户端代码:
NSMutableDictionary *attributes = [[NSMutableDictionary alloc] init];
[attributes setObject: @"f001" forKey: @"friend_id"];
[attributes setObject: @"m001" forKey: @"myself_id"];
NSMutableDictionary *params = [NSMutableDictionary dictionaryWithObject:attributes forKey:@"friend"];
[[RKClient sharedClient] post:@"/friends" params:params delegate:self];
我怎样才能摆脱警告?
最佳答案
您可以使用以下方法安全地删除警告:
skip_before_filter :verify_authenticity_token
这应该进入您拥有的每个 Rails API Controller ,或者如果您有一个用于所有 API Controller 的 base_controller
则将其放在那里。
如果您还可以通过网络浏览器访问您的应用程序,那么不要将此行放在 application_controller
中,因为您将创建一个安全漏洞。
删除 API 调用的 csrf
是安全的,因为特定漏洞只能通过网络浏览器执行。
2013 年 12 月 16 日更新
我已经看到一些指向此答案的链接和一些其他建议澄清的内容。如果您使用基于 Web 的身份验证方法对 API 进行身份验证 - 例如,API 可能容易受到 CSRF 的攻击。 session 或 cookie。
Is your Web API susceptible to a CSRF exploit? 中有一些很好的细节.
我的建议仍然代表 RestKit 的用户,因为用户凭据不太可能基于 session 或 cookie,而是基于用户名或 api key 。
如果您的 API 可以使用 session 或 cookie 进行身份验证,那么您应该避免跳过 : verify_authenticity_token
并且您应该考虑转向基于 api key 的身份验证。
如果您的 API 可以使用也用于在 Web 上进行身份验证的用户名和密码进行身份验证,则仍然存在潜在的漏洞,尽管它不太严重,因为它需要用户输入他们的用户名和密码到您的使用漏洞利用访问站点时在 HTTP 身份验证质询框中访问站点。同样,为了获得最佳安全性,您应该考虑转向基于 api key 的身份验证。
值得注意的是,我不同意你需要添加 :only => [:your_method]
来提供额外的保护,前提是你有隔离的 api Controller ,你的 api 不与您的网络响应并且您没有使用 session 或 cookie。如果这些就绪,您可以安全地将 skip_before_filter
添加到您的 api 的 base_controller
中。
关于ruby-on-rails - Rails 从 RestKit POST 显示 "WARNING: Can' t verify CSRF token authenticity,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10167956/
我对这个错误很困惑: Cannot implicitly convert type 'System.Func [c:\Program Files (x86)\Reference Assemblies\
考虑这段代码: pub trait Hello { fn hello(&self); } impl Hello for Any { fn hello(&self) {
问题很简单。是否可以构造这样一个类型 T,对于它下面的两个变量声明会产生不同的结果? T t1 = {}; T t2{}; 我已经研究 cppreference 和标准一个多小时了,我了解以下内容:
Intellij idea 给我这个错误:“Compare (T, T) in Comparator cannot be applied to (T, T)” 对于以下代码: public class
任何人都可以告诉我 : n\t\t\t\t\n\t\t\t 在以下来自和 dwr 服务的响应中的含义和用途是什么. \r\n\t\t\t \r\n\t\t\t
让 T 成为一个 C++ 类。 下面三个指令在行为上有什么区别吗? T a; T a(); T a = T(); T 为不带参数的构造函数提供了显式定义这一事实是否对问题有任何改变? 后续问题:如果
Rust中的智能指针是什么 智能指针(smart pointers)是一类数据结构,是拥有数据所有权和额外功能的指针。是指针的进一步发展 指针(pointer)是一个包含内存地
比如我有一个 vector vector > v={{true,1},{true,2},{false,3},{false,4},{false,5},{true,6},{false,7},{true,8
我有一个来自 .xls 电子表格的数据框,我打印了 print(df.columns.values) 列,输出包含一个名为:Poll Responses\n\t\t\t\t\t。 我查看了 Excel
This question already has answers here: What are good reasons for choosing invariance in an API like
指针类型作为类型前缀与在类型前加斜杠作为后缀有什么区别。斜线到底是什么意思? 最佳答案 语法 T/~ 和 T/& 基本上已被弃用(我什至不确定编译器是否仍然接受它)。在向新向量方案过渡的初始阶段,[T
我正在尝试找到一种方法来获取模板参数的基类。 考虑以下类: template class Foo { public: Foo(){}; ~Foo(){};
这是一个让我感到困惑的小问题。我不知道如何描述它,所以只看下面的代码: struct B { B() {} B(B&) { std::cout ::value #include
为什么有 T::T(T&) 而 T::T(const T&) 更适合 copy ? (大概是用来实现move语义的???) 原始描述(被melpomene证明是错误的): 在C++11中,支持了一种新
在 Java 7 中使用 eclipse 4.2 并尝试实现 List 接口(interface)的以下方法时,我收到了警告。 public T[] toArray(T[] a) { ret
假设有三个函数: def foo[T](a:T, b:T): T = a def test1 = foo(1, "2") def test2 = foo(List(), ListBuffer()) 虽
我对柯里化(Currying)和非柯里化(Currying)泛型函数之间类型检查的差异有点困惑: scala> def x[T](a: T, b: T) = (a == b) x: [T](a: T,
考虑一个类A,我如何编写一个具有与相同行为的模板 A& pretty(A& x) { /* make x pretty */ return x; } A pretty(A&& x) {
Eclipse 表示由于泛型类型橡皮擦,类型参数不允许使用 instanceof 操作。 我同意在运行时不会保留任何类型信息。但是请考虑以下类的通用声明: class SomeClass{ T
在 C++14 中: 对于任何整数或枚举类型 T 以及对于任何表达式 expr: 有没有区别: struct S { T t { expr }; }; 和 struct S { T t = { exp
我是一名优秀的程序员,十分优秀!