我目前正在与其他几个开发人员一起开发Rails应用程序,通过AJAX向服务器发送帖子.有时,我们注意到我们的邮箱日志(log)中出现了InvalidAuthenticityToken
个例外,这导致我们想要采取行动.
由于这个请求是通过Angular提交的,我认为我们将服务器视为一个API,应该使用protect_from_forgery with: :null_session
.然而,protect_from_forgery with: :reset_session
似乎为我们提供了同样的解决方案.
我不希望仅仅因为推荐就盲目地插入代码,所以我想知道这两种伪造保护方法之间的区别.什么时候我会使用其中一个而不是另一个,为什么我更喜欢使用它?