Я понимаю, что Rails по умолчанию не имеет защиты CSRF
для запросов HTTP GET
, потому что это утверждает, что они идемпотентны. Однако существует конфиденциальная информация, которая возвращается пользователю из этих запросов GET, и я бы не хотел, чтобы вредоносный сайт получал эту информацию.
Как лучше всего защитить запросы HTTP GET
от CSRF
в Rails?