Как выборочно отключить проверку CSRF в инфраструктуре Phoenix

Я пытаюсь создать вкладку страницы Facebook, которая указывает на мой сайт. Facebook отправляет запрос HTTP POST на адрес моего веб-сайта. Проблема здесь в том, что сервер имеет встроенную проверку CSRF и возвращает следующую ошибку:

(Plug.CSRFProtection.InvalidCSRFTokenError) invalid CSRF (Cross Site  Forgery Protection) token, make sure all requests include a '_csrf_token' param or an 'x-csrf-token' header`

Сервер ожидает маркер CSRF, который не может быть у Facebook. Итак, я хочу выборочно отключить CSRF для пути www.mywebsite.com/facebook.

Как я могу сделать это в Phoenix Framework?

Ответы

Ответ 1

В маршрутизаторе protect_from_forgery включен Plug.CSRFProtection. Это устанавливается по умолчанию в конвейере browser. Как только добавлен плагин, нет возможности отключить его, вместо этого он не должен быть установлен в первую очередь. Вы можете сделать это, переместив его из browser и включив его только тогда, когда это необходимо.

defmodule Foo.Router do
  use Foo.Web, :router

  pipeline :browser do
    plug :accepts, ["html"]
    plug :fetch_session
    plug :fetch_flash
    #plug :protect_from_forgery - move this
  end

  pipeline :csrf do
    plug :protect_from_forgery # to here
  end

  pipeline :api do
    plug :accepts, ["json"]
  end

  scope "/", Foo do
    pipe_through [:browser, :csrf] # Use both browser and csrf pipelines

    get "/", PageController, :index
  end

  scope "/", Foo do
    pipe_through :browser # Use only the browser pipeline

    get "/facebook", PageController, :index #You can use the same controller and actions if you like
  end

end