如何使用Rails AuthenticityToken基础结构显式保护get操作

Rails,固执己见,因为它认为所有GET请求都应该是等量的。这意味着Rails当然不会检查GET请求的真实性令牌,甚至是经过验证的请求?给每个人一个通行证。

def verified_request?
  !protect_against_forgery?     ||
    request.method == :get      ||
    !verifiable_request_format? ||
    form_authenticity_token == params[request_forgery_protection_token]
end

所以我们必须写自己的逻辑。我们可以使用表格“真实性令牌”。所有这些操作都是创建一个随机字符串并将其缓存在会话中:

def form_authenticity_token
   session[:_csrf_token] ||= ActiveSupport::SecureRandom.base64(32)
end

因此,我们可以制作一个before过滤器来测试URL参数与会话令牌的相等性。从而确保只有善意的访客才能观看视频。

控制器:

class CDNController < ActionController::Base
  # You probably only want to verify the show action
  before_filter :verify_request, :only => 'show'

  # Regular controller actions…

  protected

  def verify_request
    # Correct HTTP response code is 403 forbidden, not 404 not found.
    render(:status => 403) unless form_authenticity_token == params[:token]
  end

end

观点:

<%= video_path(:token => form_authenticity_token) %>

要在URL中插入真实性令牌,请执行以下操作:

<%= video_path(:token => form_authenticity_token) %>

在您的cdn控制器中,您可以使用before_过滤器检查真实性令牌是否正确:

def verify_token
    render_404 unless form_authenticity_token == params[:token]
end

def render_404
    render :file => "#{RAILS_ROOT}/public/404.html", :status => 404
end