У меня есть приложение Rails, настроенное с ActionCable и GraphQL, в значительной степени согласно этой документации: GraphiQL , Обзор ActionCable
Домены, которые могут открывать соединение, указываются с помощью
config.action_cable.allowed_request_origins = ...
У меня также есть мобильное приложение, которое также должно подключаться.
Чтобы разрешить подключения из мобильных приложений неизвестного происхождения, необходимо отключить защиту от подделки для кабеля действий и, насколько я понимаю, удалить конфигурацию allowed_request_origin. Например, это рекомендуемый подход в этом SO-ответе .
config.action_cable.disable_request_forgery_protection = true
Однако я не решаюсь применить эту конфигурацию, потому что мне не хватает информации о том, что именно влечет за собой эта конфигурация. Гугл не нашел никаких окончательных ответов.
Какая конечная точка теперь будет принимать соединения из любого источника, только /websocket? Каковы последствия для безопасности моего приложения?
И, наконец, каков рекомендуемый подход к этому конкретному варианту использования, например, открывать соединения через веб-сокет из какого-либо мобильного приложения?