我真的有问题,在这种情况下,我既不想跳过verify_authenticity_token过滤器,也不想更改为protect_from_forgery with: :null_session。
在我的请求方法中,我使用csrf令牌设置一个标头,如下所示:
var token = document.querySelector("meta[name='csrf-token']").content;
xhr.setRequestHeader("X-CSRF-Token", token);
通过在我的控制器中插入一个断点,如下所示:
def verify_authenticity_token
binding.pry
super
end
我已验证标题已设置:
[1] pry(#<MyController>)> request.headers
=> #<ActionDispatch::Http::Headers:0x007fb227cbf490
@env=
{"CONTENT_LENGTH"=>"202",
.
.
.
# omitted headers
.
.
.
"HTTP_X_CSRF_TOKEN"=>"the-correct-token-from-meta-tag",
.
.
.
}
我还尝试将令牌作为带有关键字authenticity_token的参数传递(与Rails表单一样),并将X-CSRF-Param标记设置为匹配(来自meta[name="csrf-param"])。
然而,我仍然得到:
Can't verify CSRF token authenticity
Completed 422 Unprocessable Entity in 14638ms
ActionController::InvalidAuthenticityToken (ActionController::InvalidAuthenticityToken
有人见过这个吗?有什么想法可能导致这种情况吗?
提前感谢!
编辑:
根据marflar回答的评论中的讨论,在发出请求时,令牌似乎已经过期(通过与form_authenticity_token进行比较进行测试)。这让我更加困惑,因为<%= csrf_meta_tags %>中设置的令牌在下一个请求到来时已经过期。有什么想法吗?
第二版:根据下面marflar的建议,我在我的应用程序控制器中添加了以下after_filter:
def set_csrf_headers
response.headers['X-CSRF-Param'] = request_forgery_protection_token.to_s
response.headers['X-CSRF-Token'] = form_authenticity_token
end
我在请求方法中更新了xhr.onload,如下所示:
namespace.request = = function (type, url, opts, callback) {
// code omitted
xhr.onload = function () {
setCSRFHeaders(xhr);
var res = {data: JSON.parse(xhr.response), status: xhr.status};
return callback.call(xhr, null, res);
};
// code omitted
}
function setCSRFHeaders ( xhr ) {
var csrf_param = xhr.getResponseHeader('X-CSRF-Param');
var csrf_token = xhr.getResponseHeader('X-CSRF-Token');
if (csrf_param) {
document.querySelector("meta[name='csrf-param']").content = csrf_param;
}
if (csrf_token) {
document.querySelector("meta[name='csrf-token']").content = csrf_token;
}
}
我验证了响应标头和元标记是否正确重置,但是,当下一个请求到来时,这个新令牌再次过期。想法?
我也有同样的问题。我检查了Rails的源代码,并得出下一个结论:
authenticity_token本身未过期,因此无需在每次向服务器发出ajax请求后更新- 不需要同时发送
params[:authenticity_token]和header['x-csrf-token'],只需其中一个,rails将首先检查params,而不是header - 在页面刷新时,
authenticity_token会有所不同,但这并不重要,因为它每次都是用一个时间板生成的,并且真正的csrf令牌(在服务器上)与时间无关 - 保存在
session[:_csrf_token]中的真实csrf令牌
正如你所看到的,令牌被保存在会话中,我的问题是我的会话在24小时后过期(可能用户在页面上停留了一天而没有刷新)
如果用户是通过cookie或其他一些令牌参数登录的,那么他无论如何都会获得新的会话,并由此生成新的CSRF令牌,任何具有旧authenticity_token的请求都将无效。
所以,主要的问题是会话,它已经过期或重置。
我的猜测是Rails可能希望标记在HTML中,而不是头中。你能试试吗?希望能有所帮助。
实际上,我认为您可能使用了一个过时的CRSF令牌,因为您正在从模板中复制它。
我通常在我的控制器操作中这样设置:
response.headers['X-CSRF-Param'] = "#{request_forgery_protection_token}"
response.headers['X-CSRF-Token'] = "#{form_authenticity_token}"
您页面中的令牌与调用form_authenticity_token返回的令牌匹配吗?
更新
针对您的评论(引用如下):
我刚刚检查过,你说得对,这是一个过时的代币,不幸的是,这让我更加困惑。带有CSRF数据的元标签是在初始页面加载时设置的,此时它们与form_authenticaity_token匹配,但在发出第一个ajax请求时,令牌已经过时。因此,无论我是在HTML中设置它们,还是将它们设置为标头,都无关紧要,因为这会同时发生,因此会遇到同样的问题,令牌在发出下一个请求之前过期。谢谢你到目前为止的帮助,有什么想法吗?
我在实现AJAX登录时遇到了这种问题。我发现登录后无法发出任何形式的POST请求,我需要以下代码来刷新我的令牌:
var update_csrf_token_and_param_after_ajax_login = function() {
$(document).on("ajaxComplete", function(event, xhr, settings) {
var csrf_param = xhr.getResponseHeader('X-CSRF-Param');
var csrf_token = xhr.getResponseHeader('X-CSRF-Token');
if (csrf_param) {
$('meta[name="csrf-param"]').attr('content', csrf_param);
}
if (csrf_token) {
$('meta[name="csrf-token"]').attr('content', csrf_token);
}
});
}
我认为您可能只需要在执行POST之前在页面中写入一个新的令牌。。。