Php Rails 3可防止\u伪造问题_Php_Ruby On Rails_Protect From Forgery

Php Rails 3可防止\u伪造问题

php ruby-on-rails

Php Rails 3可防止\u伪造问题,php,ruby-on-rails,protect-from-forgery,Php,Ruby On Rails,Protect From Forgery,我有两个应用程序需要通过HTTP相互通信。一个是PHP应用程序，另一个是我的主应用程序Rails应用程序。我需要PHP应用程序通过向Rails应用程序发布数据来与Rails应用程序对话，但当我这样做时，我收到了无效真实性令牌错误。这有什么关系吗？或者我如何创建自己的令牌来传递帖子，以便Rails应用程序进行身份验证？来自您可以通过指定and:except或强制跳过before筛选器来跳过身份验证令牌要求…文档中的示例 class FooController < ApplicationCo

我有两个应用程序需要通过HTTP相互通信。一个是PHP应用程序，另一个是我的主应用程序Rails应用程序。我需要PHP应用程序通过向Rails应用程序发布数据来与Rails应用程序对话，但当我这样做时，我收到了无效真实性令牌错误。这有什么关系吗？或者我如何创建自己的令牌来传递帖子，以便Rails应用程序进行身份验证？

来自

您可以通过指定and:except或强制跳过before筛选器来跳过身份验证令牌要求…文档中的示例

class FooController < ApplicationController
    protect_from_forgery :except => :index

    # you can disable csrf protection on controller-by-controller basis:
    skip_before_filter :verify_authenticity_token
end

class FooController：索引
#您可以逐个控制器禁用csrf保护：
在\u筛选器之前跳过\u：验证\u真实性\u令牌
结束

通过一个单独的get请求获取真实性令牌，然后使用它来使用PHP发布表单不是更好吗？禁用令牌不是安全问题吗？我同意，您不应该禁用索引和POST的保护。任何试图这样做的人都应该遵循Alex的建议，或者至少使用不同的操作并放置一些其他类型的安全性，例如接受来自已知IP的请求，使用request.remote_IP丢弃不需要的IP。