добавить проверку еще пары-тройки параметров

ээ

куки проверять

так CSRF и дает проверку чтобы только с твоего сайта

отправлялось

так CSRF и дает проверку чтобы только с твоего сайта

нет

да куки вбить - изи

как нет?))

если ты скопируешь значение csrf - ты сможешь и через postman отправить

ну тогда и сессию надо копировать же

ну точнее куки

ну тогда и сессию надо копировать же

кому надо?

если у тебя в контактной форме используется csrf-токен - ты думаешь .сайт заодно и куки ставит?

а где по -твоему хранится токен для проверки с тем что в форме стоит?))

если ты скопируешь значение csrf - ты сможешь и через postman отправить

а как скопировать csrf?

а как скопировать csrf?

посмотретьего значение

оно не случайно генерится?

он через hidden field в форме передается

Controller actions are protected from Cross-Site Request Forgery (CSRF) attacks by including a token in the rendered HTML for your application. This token is stored as a random string in the session, to which an attacker does not have access.

с документации

пожалуйста

изучайте

и не вводите людей в заблуждение

скопируете форму с токеном и отправите с другого сайта, ничего не выйдет, т.к. куков на другом домене не будет

CSRF в общем случае к кукам отношения не имеет

ну как это не имеет

технически в рельсах по умолчанию имеет

скопируете форму с токеном и отправите с другого сайта, ничего не выйдет, т.к. куков на другом домене не будет

сеесия != куки

в рельсах да, по умолчанию хранится в сессии

самое прямое

СЕССИЯ = КУКИ

по УМОЛЧАНИЮ

в рельсе

все данные в куках хранятся, все переменные

просто шифрованные

сессия хранится на сервере, куки на клиенте

ахахаха

с чего ты решил вдруг?

сессия может и в базе данных хранится

ребята вы вообще о чем говорите

по умоланию сессия настроена на CookieStore

все данные в куках хранятся и только

ничего на сервере не хранится, не смешите людей, почитайе доки

да-да, secret_key_base тоже на клиенте

http://guides.rubyonrails.org/security.html#sessions

секрет кей нужен только для шифрования куков

я говорю про данные непосредственно в сессии уже

CSRF токен каждый раз новый когда я обновляю страницу

CSRF токен каждый раз новый когда я обновляю страницу

именно так он и работает и каждый раз обновляет данные о токене в сессии..

проверил, у меня запрос отправляется даже если не указать authenticity_token в параметрах

можешь еще открыть куки и посмотреть

каждый запрос они меняются

ну открой документацию и сделай по шагам

не помогает csrf предотвратить от посторонней отправки

ну потому что ты документацию читать не можешь

не умеешь

все там работает идеально

и Ракета нас покинул

и Ракета нас покинул

заправился и дальше полетел?

проверил, у меня запрос отправляется даже если не указать authenticity_token в параметрах

protect_from_forgery в app/controllers/application_controller.rb есть? Как конекретно форму без токена отправляешь?

ERROR: S client not available

есть. через rest client

post запросом

приложение через rails new без других параметров создавал?

проверил, у меня запрос отправляется даже если не указать authenticity_token в параметрах

там надо указать, что authencity_token используется

это первая ошибка сапера, бизнес не хочет тратить месяцы на новую админку только потому что старая бьет тебя по яйцам

так бизнес и не начнёт с рельсов, потому что админки вообще нет, а в джанге типа есть, у похапе CMSки

я же говорю про конкретную нишу - быстрого прототипирования бизнес идеи

так бизнес и не начнёт с рельсов, потому что админки вообще нет, а в джанге типа есть, у похапе CMSки

Максимально спорно. Имея опыт работы с active admin, можно вполне себе широкий функционал на нем сделать в сроки, близкие у нулевым. Джанговская админка лучше только тем, что не нужно подключать 1 новый модуль в приложение, на мой взгляд.

так бизнес и не начнёт с рельсов, потому что админки вообще нет, а в джанге типа есть, у похапе CMSки

бред

я же говорю про конкретную нишу - быстрого прототипирования бизнес идеи

это не связано с наличием или отсутствием админки

так бизнес и не начнёт с рельсов, потому что админки вообще нет, а в джанге типа есть, у похапе CMSки

ты пишешь "юизнес", но подразумеваешь почему-то чувака, который решил сайтики по пять рублей пучок клепать

Блин, как называется гем для работы с нейросетями на руби?

хех, согласен, малый бизнес

для них есть rails-admin и актив админ

Блин, как называется гем для работы с нейросетями на руби?

https://github.com/arbox/machine-learning-with-ruby#neural-networks

спасибо

я же говорю про конкретную нишу - быстрого прототипирования бизнес идеи

отличная ниша rails g scaffold, без админок

для них есть rails-admin и актив админ

блин, у малого бизнеса и так полно проблем, не предлагайте ему AA

прекратите

пазязя

немутите

да он сам найдет, ну

"rails админка" в гугле

и вуаля

первый файл в папке /admin

ну и писало бы гугло: нету, нельзя, ненадо, побойся, аза-аза

и на конфах надо говорить: рельсы крутые, потому что им не нужна админка

вы хотите иметь в озможность вписать в поле: израсходовано -8(минус восемь) литров бензина, или отлаженные бизнес процессы?