在ruby的rails设计中，会设置config.http_authenticatable_on_xhr = false导致跨站请求伪造？

Question

这篇文章给出了关于如何使用devise和rails登录ajax的教程。 http://natashatherobot.com/devise-rails-sign-in/

变化之一是设置config.http_authenticatable_on_xhr =假

我的朋友告诉我，这将导致跨站请求伪造，但他不知道为什么。有谁知道这是否属实，为什么？

Answer 1

没有这种修改不会导致CSRF。它只是告诉Devise应该为HTTP请求返回（或不）返回HTTP标头。