Rails 3.1 - CSRF игнорируется?

Question

вот моя проблема,

У меня есть приложение rails 3.1, и я пытаюсь сделать запрос ajax, но я получаю предупреждение "ВНИМАНИЕ: Не удается проверить подлинность токена CSRF"…

Внутри моего макета у меня есть вспомогательный метод " csrf_method_tag ​​", и я добавляю следующий код JavaScript (не знаю, действительно ли он требуется или нет):

$.ajaxSetup({
  beforeSend: function(xhr) {
    xhr.setRequestHeader('X-CSRF-Token', $('meta[name="csrf-token"]').attr('content'));
  }
});

Мой Gemfile содержит гем jquery-rails (> = 1.0.12), и мне требуются jquery & jquery-ujs в верхней части моего application.js.

Даже с этим, сообщение все еще появляется.Я что-то забыл?

Спасибо за помощь.

Answer 1

У меня была точно такая же проблема.Я пытался перехватить событие javascript (игрок you_tube завершен) и Ajax вернулся на мой сервер, чтобы сообщить мне об этом.Я получал:

<b>WARNING:</b> Can't verify CSRF token authenticity

всякий раз, когда вызов jQuery ajax попадает на мой сервер.Я добавил ваше исправление кода выше

$.ajaxSetup({
    beforeSend: function(xhr) {
        xhr.setRequestHeader('X-CSRF-Token',
                             $('meta[name="csrf-token"]').attr('content'));
    }
});

, и оно отлично работает.Я думаю, что единственное отличие состоит в том, что у меня есть макет

<%= csrf_meta_tags %>

, а не csrf_method_tag, как вы упомянули в исходном сообщении.
Так что спасибо за исправление, оно было в исходном сообщении.*

Answer 2

Что сработало для меня - при работе без форм - это включить результат <%= form_authenticity_token %> в полезные данные ajax.Поэтому я делаю что-то вроде того, что было предложено tehprofоресурсом в html:

<input id="tokentag" type="hidden" name="authenticity_token" value="<%= form_authenticity_token %>" />

, затем в javascript:

tokentag = $('#tokentag').val()
submitdata = { "authenticity_token": tokentag, ...+whatever else you need to include+...}

, затем вызываю $.ajax с submitdata.

Answer 3

Возможно, вам даже не нужно это в вашем коде.По умолчанию гем jquery-rails автоматически устанавливает токен CSRF для всех запросов Ajax.

Answer 4

Просто сделайте это прямо на вызове AJAX, и он будет работать правильно!

  $.ajax({
            type: //method,
            beforeSend: function(xhr){
                xhr.setRequestHeader('X-CSRF-Token', $('meta[name="csrf-token"]').attr('content'))
            },
            url: //parameter,
            dataType: 'html',
            success: function(data, textStatus, jqXHR) {
               // some code
            }
  });

Answer 5

Проблема в том, что вам нужно получить новый токен после запроса POST Ajax, потому что после использования токена он становится недействительным. Вот код для этого:

В рельсах всякий раз, когда отправляется ответ POST, добавьте следующие параметры в ответ:

def someMethod:
    result[:csrfParam] = request_forgery_protection_token
    result[:csrfToken] = form_authenticity_token
    render :json => result
end

Теперь на стороне JS, в функции успеха каждого метода POST вы можете вызвать эту функцию:

var setCsrfToken = function(param, token) {
    if(param == null || token == null) {
        console.error("New CSRF param/token not present");
    }
    $("input[name='" + param + "']").val(token);
}

как это:

setCsrfToken(result["csrfParam"], result["csrfToken"]);

Эта функция будет сбрасывать все параметры authenticity_token во всех формах POST, чтобы следующий запрос имел действительный токен. Вы должны убедиться, что это происходит при каждом вызове POST, иначе вы продолжите сталкиваться с этой проблемой.

Кроме того, CSRF не для предотвращения кликджекинга, это отдельная атака, когда другой веб-сайт может заставить пользователя щелкнуть ссылку, которая выполняет действие на вашем веб-сайте во время сеанса пользователя.

Answer 6

Одной из причин может быть то, что вы делаете вызов AJAX перед загрузкой документа, поэтому JQuery не может получить токен CSRF.

Answer 7

Вы пытались использовать скрытый элемент формы с токеном подлинности?

<input type="hidden" name="authenticity_token" value="<%= form_authenticity_token>" />

У меня была та же ошибка, и это помогло.Это потому, что я не использовал встроенные помощники форм ...