是否使用以下不良做法,它是否会使您的控制器操作暴露给CSRF攻击?
match ':controller(/:action(/:id))(.:format)'
是的。在这里看看verified_request?方法。
它不会验证GET请求的令牌。
您必须在路由中指定 HTTP 谓词。
match "something" => "controller#action", :via => :post