Eu tenho um aplicativo rails que serve algumas APIs para um aplicativo iPhone. Quero ser capaz de simplesmente postar em um recurso sem me importar em obter o token CSRF correto. Tentei alguns métodos que vejo aqui no stackoverflow, mas parece que eles não funcionam mais nos trilhos 3.
Obrigado por me ajudar.
Respostas:
No controlador onde você deseja desativar o CSRF, a verificação:
skip_before_action :verify_authenticity_tokenOu para desativá-lo para tudo, exceto alguns métodos:
skip_before_action :verify_authenticity_token, :except => [:update, :create]Ou para desativar apenas os métodos especificados:
skip_before_action :verify_authenticity_token, :only => [:custom_auth, :update]Mais informações: RoR Request Forgery Protection
No Rails3 você pode desativar o token csrf em seu controlador para métodos específicos:
protect_from_forgery :except => :create ApplicationController. A resposta de Mike Lewis abaixo ( skip_before_filter :verify_authenticity_token) é como desabilitá-lo por controlador, assumindo que o controlador herda de ApplicationController.
Com o Rails 4, você agora tem a opção de escrever em skip_before_actionvez de skip_before_filter.
# Works in Rails 4 and 5
skip_before_action :verify_authenticity_token
ou
# Works in Rails 3 and 4 (deprecated in Rails 4 and removed in Rails 5)
skip_before_filter :verify_authenticity_token