爲什麼rails不驗證CSRF的XHR請求？

Question

In： http://api.rubyonrails.org/classes/ActionController/RequestForgeryProtection.html

這決定了跨站請求僞造驗證。以下功能：

def non_xhr_javascript_response? 
    content_type =~ %r(\Atext/javascript) && !request.xhr? 
    end 

結束表示沒有XHR請求驗證CSRF，即使令牌無效？

這是爲什麼？ XHR請求是否意味着CRSF不需要使用Auth令牌進行驗證？

Answer 1

這是不正確的。 Rails檢查所有非get/head帖子的CSRF標記，不管它們是否是ajax。

另外，由於Rails 4.1 Rails也爲JavaScript格式的非xhr GET請求檢查csrf標記。這是爲了防止通過JSON-P請求在跨域請求中訪問時泄漏信息。對於xhr瀏覽器將已經實施了跨域限制。這是您找到的方法的用處：查看請求是否需要此額外檢查。

如果你回去遠遠不夠及時，護欄也用它來免除CSRF檢查AJAX請求，因爲上述瀏覽器，所施加的限制。然而，Rails只知道一個請求是一個ajax請求，因爲存在一個X-Requested-With頭文件，並且發現這可能是僞造的，所以這是removed