,

[Ruby on Rails 4] API で外部からリクエストを受ける特定アクションのみ CSRF の除外とする方法

公開日: 2017/01/11
更新日: 2018/10/06

memo.

[markdown]
Rails v4.

> [Rails4のCSRF対策で「Can’t verify CSRF token authenticity」エラー – Qiita](http://qiita.com/chobi9999/items/2b59fdaf3dd8f2ed9268)

“`ruby:foo_controller.rb
class fooController < ApplicationController protect_from_forgery :except => [:bar]
def bar
:
end
“`

以下で `:null_session` 設定してしまうと ApplicationController の継承先も全て CSRF 対策から除外されてしまうよう。

“`ruby:application_controller.rb
class ApplicationController < ActionController::Base # Prevent CSRF attacks by raising an exception. # For APIs, you may want to use :null_session instead. protect_from_forgery with: :exception end ``` ## 補遺 * [RailsのCSRF対策の仕組みについて - Programming log - Shindo200](http://shindolog.hatenablog.com/entry/2014/09/01/013840) [/markdown]