API で外部からリクエストを受ける特定アクションのみ CSRF の除外とする方法

memo.

Rails v4.

Rails4のCSRF対策で「Can’t verify CSRF token authenticity」エラー – Qiita

foo_controller.rb

class fooController < ApplicationController
  protect_from_forgery :except => [:bar]
  def bar
    :
  end

以下で :null_session 設定してしまうと ApplicationController の継承先も全て CSRF 対策から除外されてしまうよう。

application_controller.rb

class ApplicationController < ActionController::Base
  # Prevent CSRF attacks by raising an exception.
  # For APIs, you may want to use :null_session instead.
  protect_from_forgery with: :exception
end

補遺

RailsのCSRF対策の仕組みについて – Programming log – Shindo200