protect_form_forgeryのオプション

  protect_from_forgery# :secret => '8ff3ed33f86a431662d8dfe255acdb4a'

上記のコードに書いてある:secretというオプションは、セッションをDBまたはメモリに格納しているときにだけ使います。デフォルトはセッションをクッキーに格納している*2ので、:secretはコメントアウトのままにしておきます。

特定のメソッドだけCSRFの対策をしたくない場合は、そのメソッドのあるコントローラでこんな風に定義します。

  protect_from_forgery:except => ["create"]

:onlyも使えます。こうすると、createアクションの時のみprotect_from_forgeryが有効になります。

  protect_from_forgery:only => ["create"]

authenticity_token

authenticity_tokenの値を入手するにはform_authenticity_tokenメソッドを使います。こんな感じでhiddenに入れてあげると良いと思います。

<%= hidden_field_tag"authenticity_token" form_authenticity_token %>

putやdeleteを使用したい場合

まず、railsは、下記のようにputを使うように定義すると

<% form_for:user,:method =>"put"># ...<% end %>

下記のようなHTMLを自動的に作成します。

<input hiddenvalue="put"name="_method" />

そして、リクエストが来たときに、params[_method]の中を見てメソッドを判別しています。なので、javascriptの中で_methodを渡すように書いてあげれば良いです。

まとめ

まず、viewにauthenticity_tokenをセット。次にjavascriptでこんな感じに書きます（jquery使用してます)。ポイントは、

• _method
• authenticity_token

の二つをrailsに送信しているところ。

$(function(){  $("#hoge").click(function(){      $.ajax({dataType:"text",   data:{"_method":"put","authenticity_token": $("#authenticity_token").val()"hoge":"hoge"},type:"POST",cache:true,url:"http://www.example.com/",        success:function(data){// ...}})}  )});