добавление protect_from_forgery на существующие рельсы webapp

Question

У меня есть приложение rails и api, работающие вместе. Приложение два года теперь и были разработаны с параметрами (в application_controller):

skip_before_filter :verify_authenticity_token, :if => Proc.new { |c| c.request.format == 'application/json' } 
#protect_from_forgery with: :null_session 

Так что не было никакой защиты на всех против CSRF.

Я добавил <% = csrf_meta_tag%> во все мои макеты представления и и protect_from_forgery на моем приложении_controller.

Проблема заключается в том, что при запросе моей главной страницы выполняется несколько ajax, и они не содержат заголовок CSRF, поэтому я немедленно выхожу из системы.

Как я могу ввести защиту CSRF в своем приложении?

Answer 1

Вам необходимо изменить ваши запросы Ajax, чтобы включить токен CSRF. Вы можете настроить все запросы AJAX для отправки маркеров по умолчанию в JQuery, используя следующий код

$("body").bind("ajaxSend", function(elm, xhr, s){ 
    if (s.type == "POST") { 
    xhr.setRequestHeader('X-CSRF-Token', $('meta[name=csrf-token]').attr('content')); 
    } 
}); 

(код, взятый из this question). Другие структуры JS, вероятно, имеют аналогичную функциональность.