React и Unpermitted параметр - PullRequest
0 голосов
/ 30 августа 2018

После настройки dropzone реагируют с помощью простого rails api в логах показывает:

Processing by Api::UsersController#update as */*
21:03:10 web.1       |   Parameters: {"avatar"=>[{"preview"=>"blob:http://localhost:3000/4b4f28d6-cab3-46e5-a887-912580bbca1a"}], "access_token"=>"6jaabLFdUG-7jGuC_RvH2Q", "user"=>{"avatar"=>[{"preview"=>"blob:http://localhost:3000/4b4f28d6-cab3-46e5-a887-912580bbca1a"}]}}
21:03:10 web.1       | Can't verify CSRF token authenticity
21:03:10 web.1       |   User Load (0.4ms)  SELECT  "users".* FROM "users" WHERE "users"."access_token" = ? LIMIT 1  [["access_token", "6jaabLFdUG-7jGuC_RvH2Q"]]
21:03:10 web.1       | Unpermitted parameter: avatar
21:03:10 web.1       |    (0.2ms)  begin transaction
21:03:10 web.1       |   User Exists (0.5ms)  SELECT  1 AS one FROM "users" WHERE ("users"."username" = 'teste' AND "users"."id" != 1) LIMIT 1
21:03:10 web.1       |   User Exists (0.7ms)  SELECT  1 AS one FROM "users" WHERE ("users"."name" = '1' AND "users"."id" != 1) LIMIT 1
21:03:10 web.1       |    (0.3ms)  commit transaction
21:03:10 web.1       |   Rendered text template (0.1ms)
21:03:10 web.1       | Completed 200 OK in 47ms (Views: 19.0ms | ActiveRecord: 2.0ms)

Но в контроллере параметры аватара разрешены, поэтому кто-то может понять, почему это происходит?

код дропзоны:

updateAvatar(file) {


    const request = new Request("http:/api/users/"+ auth.getToken(), {
      method: 'PUT',
      headers: new Headers({


        'Content-Type' : 'application/json',
        '_method'      : 'put',
        'content-type': 'multipart/form-data'        
      }),
      body: JSON.stringify({avatar: file})
    });

    return fetch(request).then(response => {
      return response.json();
    }).catch(error => {
      return error;
    });
  }


<Dropzone onDrop={this.updateAvatar}>
   <button>Try dropping some files here.</button>
 </Dropzone>

пользовательский контроллер

def update
      if @user.update_attributes(user_params)

        render text: "Account has been updated successfully", status: 200
      else
        render json: @user.errors, status: 422
      end
    end
     def user_params
            params.require(:user).permit( :avatar,:name, :email, :password, :password_confirmation)
          end

1 Ответ

0 голосов
/ 30 августа 2018

Белый список параметров выглядит следующим образом:

params.require(:user).permit(:name, :email, :password, :password_confirmation, avatar: [:preview])

Кроме того, приложение Rails не может проверить токен CSRF.

Добавьте следующее в ApplicationController

protect_from_forgery with: :null_session

Вы можете узнать больше о CSRF от здесь

...