Je pose cette question parce que je sens que cela me complique la vie quand je commence à communiquer avec des rails en utilisant ajax ou flash.Est-ce que protect_from_forgery de Rails est vraiment utile?
Je sais que c'est bien de protéger contre CSRF, mais je ne pouvais pas simplement vérifier le referer ou quelque chose à la place?
De nombreux utilisateurs désactivent leur référent, la plupart du temps pas par choix.
Mais parce qu'ils sont derrière un pare-feu qui le bloque. L'utilisation de la fonction de protection contre la contrefaçon est la seule solution pour vous protéger contre les attaques CSRF.
Mais vous pouvez désactiver pour toute action que vous souhaitez.
Dans votre contrôleur, vous ajoutez:
skip_before_filter :verify_authenticity_token, :only => :create
Cela Deactive la vérification symbolique pour le créer une action dans le contrôleur où vous avez ajouté le filtre.
sry J'ai oublié d'accepter votre réponse à ce moment-là ^^ – marcgg
En fait, la question portait sur le fait que c'est vraiment utile, pas sur la façon de l'éteindre, donc je ne pense pas que cette réponse devrait être acceptée. – SET
@SET: la première partie de la réponse explique pourquoi c'est utile quand même ... –