所以这与另一个So问题有关(为什么在Rails 3的生产中破坏动作触发HTTP身份验证?)我认为这是该问题的核心,但不确定如何做到这一点。
显然我的$.destroy()没有被传递必要的CSRF令牌。
但我不确定如何包含它。
这是我的JS:var compv = {
exists: true,
tools: {
exists: true,
csrf_param: null,
csrf_token: function() { },
clientError: function() { }
},
comments: {
exists: true,
updateView: null,
selectImage: null,
upvote: null,
edit: null,
cancelEdit:null,
downvote: null,
showVotes: null,
destroy: {
success: null,
error: null,
dialog: 'comment-destroy-dialog'
},
getUploadID: function(element) {
return $(element).parents("li").attr("data-upload-id");
}
},
steps: {
exists: true,
selectFn: {},
selectedClass: "selected-step",
selectableClass: "selectable-step",
selectedClient: {
element: null,
id: null,
stepType: "client",
ajaxSuccess: null
},
selectedProject: {
element: null,
id: null,
stepType: "project",
ajaxSuccess: null
},
selectedStage: {
element: null,
id: null,
stepType: "stage",
ajaxSuccess: null,
getID: function() {
return compv.steps.selectedStage.id;
},
displayCompare: function() {
window.open($(this).attr('data-url'), "_blank");
}
},
selectedUpload: {
element: null,
id: null,
stepType: "image",
primeUploadDisplay: null,
ajaxSuccess: null,
uploader: null,
noCloseDialog: false
}
}
};
compv.tools.csrf_param = function(){
return $('meta[name=csrf-param]').attr('content');
};
compv.tools.csrf_token = function(){
return $('meta[name=csrf-token]').attr('content');
};
这是我的$.destroy()
$.destroy({
url: element.attr('data-destroy-url'),
success: mapping.success
});
假设我在上述函数中获得了适当的csrf元数据,那么我如何将它传递给.destroy()呢?
我尝试添加compv.tools.csrf_token,但我得到的错误是compv没有定义。同样的事情发生在我做compv.tools.csrf_token()的时候。
想法?
将csrf函数的结果放入一个对象中,并在data属性中传递该对象。至少这在过去对我是有效的。
var data = {};
data[compv.tools.csrf_param()] = compv.tools.csrf_token();
$.destroy({
url: element.attr('data-destroy-url'),
success: mapping.success,
data: data
});
看一下Rails(或这里的jQuery版本)中包含的public/javascripts/rails.js中的handleMethod -它们都将向您展示Rails如何包含令牌。
如果你想使用自己的自定义destroy调用,那么你需要自己做这些事情。