问是否使用真实性令牌？还是禁用它？

EN

如果每个客户端都通过了身份验证，那么可以禁用身份验证令牌，也就是说，您应该只对该操作禁用它。

skip_before_filter :verify_authenticity_token, :only => :create

如果每个客户端都经过身份验证，则可以禁用身份验证令牌

只有在使用http cookie之外的其他身份验证机制时才是这样。因为你提到了'session_id'，所以我假设情况并非如此。

使用标准的rails cookie，user_id存储在会话中，并且此操作可由the浏览器访问，它将暴露于session_id攻击。

api的最佳策略是实现一种自定义身份验证机制，即某种身份验证令牌，它随每个http报头一起发送。

然后将csrf保护更改为null_session，或者如果您不那么偏执，请完全按照here的说明禁用csrf保护。

如果您仍然希望对api使用基于cookie的身份验证，则应该将第一个GET请求的csrf身份验证令牌设置为额外的cookie。然后读取此cookie并将其token作为“X-CSRF-Token”标头发送。Rails将在protect_from_forgery方法中检查此标头，并且由于cookies不能被3d方读取，所以攻击者将无法伪造此请求。

#application_controller.rb
protect_from_forgery with: :exception
after_action :set_csrf

def set_csrf
 cookies['X-CSRF-Token'] = form_authenticity_token if protect_against_forgery?
end

# request session and x-csrf-toke
# the cookies will be stored into cookie.txt
curl -c cookie.txt http://example.com

#curl post command
curl -H "X-CSRF-Token: <token>" -b cookie.txt -d '{"item":{"title":"test"}}' "http://example.com/items.json"

请参阅:verified_request?方法，了解rails如何检查请求伪造。