在ruby的rails設計中，會設置config.http_authenticatable_on_xhr = false導致跨站請求僞造？

Question

這篇文章給出了關於如何使用devise和rails登錄ajax的教程。 http://natashatherobot.com/devise-rails-sign-in/

變化之一是設置config.http_authenticatable_on_xhr =假

我的朋友告訴我，這將導致跨站請求僞造，但他不知道爲什麼。有誰知道這是否屬實，爲什麼？

Answer 1

沒有這種修改不會導致CSRF。它只是告訴Devise應該爲HTTP請求返回（或不）返回HTTP標頭。