我目前正在与其他几个开发人员一起开发Rails应用程序,通过AJAX向服务器发送帖子.有时,我们注意到我们的邮箱日志(log)中出现了InvalidAuthenticityToken个例外,这导致我们想要采取行动.
由于这个请求是通过Angular提交的,我认为我们将服务器视为一个API,应该使用protect_from_forgery with: :null_session.然而,protect_from_forgery with: :reset_session似乎为我们提供了同样的解决方案.
我不希望仅仅因为推荐就盲目地插入代码,所以我想知道这两种伪造保护方法之间的区别.什么时候我会使用其中一个而不是另一个,为什么我更喜欢使用它?
根据我对代码的解释,似乎:
null_session应该在API样式的控制器中使用,因为您不使用会话对象.这听起来是适合你的Angular应用的解决方案.用户先前存在的会话(即由其他传统控制器设置的会话)将保持不变.如果不将with选项指定为protect_from_forgery,这也是默认行为.reset_session代表传统控制器.当CSRF判断失败时,它会告诉Rails取消用户的会话并继续处理请求.这听起来像是一种"偏执模式",在这种模式下,如果有任何证据表明请求被篡改,你就想让用户退出你的应用程序.如果你的Rails应用程序根本不使用会话,那么这些会话是可以互换的.
然而,如果你确实在应用程序的某些部分使用了会话,而不是在其他部分(即传统和API控制器的混合),那么null_session可能是你应该使用的.否则,如果使用reset_session,浏览器发出的API请求将导致用户注销其浏览器会话.