如何解决Rails API 模式 ApplicationController 忽略 Rails.application.config.action_controller.allow_forgery_protection
我最近根据 this guide 以及来自 here 的一些有用信息将现有的 Rails 6 应用程序转换为仅限 API 的应用程序。
我的前端应用程序使用会话 cookie 来维护与服务器的身份验证(使用机架 cors 设置),当我手动测试它时,所有这些都有效。由于我使用的是会话 cookie,因此我在应用程序控制器中添加了带有 cookie 的 CSRF 保护,如下所示:
class ApplicationController < ActionController::API
include ActionController::Cookies
include ActionController::RequestForgeryProtection
protect_from_forgery with: :exception
after_action :set_csrf_cookie
def set_csrf_cookie
cookies['X-CSRF-Token'] = form_authenticity_token
end
我遇到的问题是我的 rspec 测试都因 CSRF 相关问题而失败。通常 CSRF 在 rails 的测试环境中被禁用(如记录的 here),但是我在 API 应用程序和旧应用程序上运行了 rails console -e test
以下并得到了差异:
常规 Rails 应用:
Rails.application.config.action_controller.allow_forgery_protection
>> false
ApplicationController.allow_forgery_protection
>> false
API 模式应用:
Rails.application.config.action_controller.allow_forgery_protection
>> false
ApplicationController.allow_forgery_protection
>> true
果然,当我完全禁用 CSRF 保护时,测试开始看起来更好。
有没有办法在 Rails API 应用中恢复这种行为?
编辑:我还使用由 rails new --api
生成的新 Rails 应用程序尝试了上述操作,并且得到了相同的行为。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。