我已经在StackOverflow上阅读了关于InvalidAuthenticityToken和protect_from_forgery的多个问题和答案,但没有人更聪明。
我有一个网站,每天都有数百个这样的错误。他们似乎主要(只有?)来自手机,但我只是通过样本验证了这一点。
我明白为什么有一个AuthenticityToken和需要添加
<%= csrf_meta_tags %>
(我有)以及应用程序控制器中的protect_from_forgery。我有csrf_meta_tags和:
protect_from_forgery with: :exception
在我的应用程序控制器,作为默认值。
我意识到我可以通过删除protect_from_forgery来"解决"问题,但这会使我容易受到csrf攻击,所以这不是一个真正的解决方案,是吗?我可以在protect_from_forgery中添加"except"来处理发生的表单发布但这会让我很脆弱,对吧?
编辑:我试着用禁用cookie的手机访问表单,遇到了422错误。但不能让它引起异常。添加一个异常为我的"结果"函数删除,但这使它容易受到攻击,我猜?
编辑2:我在同一个页面上有几个表单(例如搜索表单)。也许这会影响问题?
我现在处于一个位置,我不能拥有它,因为它每天会导致数百个用户出错,我不能删除它,因为我担心它会使我的网站容易受到黑客攻击。
那么,我能做什么呢?有没有合适的中间立场?
是否有任何方法可以改变protect_from_forgery,并且仍然感到相当自信,我不会让我的数据库被黑客破坏?
我不使用任何API的网站和所有的错误来自同一类型的形式。我知道有一个javascript部分的这个问题,但不是真的我可以使用这些信息来解决问题。
提前感谢!
我得到的异常示例:
An ActionController::InvalidAuthenticityToken occurred in calculations#result:
ActionController::InvalidAuthenticityToken
-------------------------------
Request:
-------------------------------
* URL : http://www.example.com/calculation/result
* HTTP Method: PUT
* IP address : 217.214.148.251
* Parameters : {"utf8"=>"✓", "_method"=>"put", "authenticity_token"=>"udnClerrF5UWvg84uaD82TzmPx/vWssv2wN9UPqyn10UwXqbOwa2FBtnZ5Nfo7HPh9xbA2OSrrUNineW50XiYg==", "commit"=>"Calculate", "controller"=>"calculations", "action"=>"result", "id"=>"123"}
* Timestamp : 2016-08-19 12:11:09 UTC
* Server : 2696e83c-1538-434d-ab6d-4e16577698d0
* Rails root : /app
* Process: 6
-------------------------------
Session:
-------------------------------
* session id: "42b36aacc78102605cb3365922a550b1"
* data: {"session_id"=>"42b36aacc78102605cb3365922a550b1",
"_csrf_token"=>"KU43tmmXbxxgoabHrbejg+NWWP1tUVoWABNDqO8FiFI="}
-------------------------------
Environment:
-------------------------------
* CONTENT_LENGTH : 322
* CONTENT_TYPE : application/x-www-form-urlencoded
* HTTP_ACCEPT : text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
* HTTP_ACCEPT_ENCODING : gzip, deflate
* HTTP_ACCEPT_LANGUAGE : sv-se
* HTTP_CONNECTION : close
* HTTP_CONNECT_TIME : 0
* HTTP_COOKIE : __unam=91429fa-156a1632125-9bccf3-3; _ga=GA1.2.357545074.1471586444; _gat=1
* HTTP_HOST : www.example.com
* HTTP_ORIGIN : http://www.example.com
* HTTP_REFERER : http://www.kalkyleramera.se/calculation
* HTTP_TOTAL_ROUTE_TIME : 0
* HTTP_USER_AGENT : Mozilla/5.0 (iPhone; CPU iPhone OS 9_3_3 like Mac OS X) AppleWebKit/601.1.46 (KHTML, like Gecko) Version/9.0 Mobile/13G34 Safari/601.1
* HTTP_VERSION : HTTP/1.1
* HTTP_VIA : 1.1 vegur
* HTTP_X_FORWARDED_FOR : 217.214.148.251
* HTTP_X_FORWARDED_PORT : 80
* HTTP_X_FORWARDED_PROTO : http
* HTTP_X_REQUEST_ID : 5e925192-d6ea-4cd3-b049-20010f11f2c2
* HTTP_X_REQUEST_START : 1471608669086
这里讨论这个问题。如果这是您的问题,您应该在日志中看到Can't verify CSRF token authenticity Completed 422 Unprocessable Entity。讨论了两种解决方案
- 更改缓存控制
config.action_dispatch.default_headers.merge!('Cache-Control' => 'no-store, no-cache') - 将无效会话更改为空会话
protect_from_forgery with: :null_session
但这似乎仍然是一个悬而未决的问题