Рейки 4 Маркер автентичності

Я працював над новим додатком Rails 4 (на Ruby 2.0.0-p0), коли я зіткнувся з деякими проблемами з ознаками автентичності.

Під час написання контролера, який відповідає на json (використовуючи respond_toметод класу), я дійшов до createдії, ActionController::InvalidAuthenticityTokenколи я намагався створити запис, використовуючи curl.

Я переконався, що я встановив, -H "Content-Type: application/json"і я встановив дані, -d "<my data here>"але все одно не пощастило.

Я спробував написати той же контролер за допомогою Rails 3.2 (на Ruby 1.9.3), і я не мав жодних проблем з маркіруванням автентичності. Я обдивився і побачив, що в Rails 4. відбулися деякі зміни з маркерами автентичності. З чого я розумію, вони більше не вставляються автоматично у форми? Я припускаю, що це якимось чином впливає на типи вмісту, що не містить HTML.

Чи є спосіб обійти це, не вимагаючи HTML-форми, вирвавши маркер автентичності, а потім зробивши ще один запит за допомогою цього маркера? Або я повністю пропускаю щось, що абсолютно очевидно?

Редагувати: Я просто спробував створити новий запис у новому додатку Rails 4, використовуючи ешафот, не змінюючи нічого, і я зіткнувся з тією ж проблемою, так що, мабуть, це не те, що я зробив.

Я думаю, що я щойно це зрозумів. Я змінив (новий) за замовчуванням

protect_from_forgery with: :exception

до

protect_from_forgery with: :null_session

відповідно до коментаря в ApplicationController.

# Prevent CSRF attacks by raising an exception.
# For APIs, you may want to use :null_session instead.

Ви можете побачити різницю, переглянувши джерело для request_forgery_protecton.rb, або, більш конкретно, наступних рядків:

У рейках 3.2 :

# This is the method that defines the application behavior when a request is found to be unverified.
# By default, \Rails resets the session when it finds an unverified request.
def handle_unverified_request
  reset_session
end

У рейках 4 :

def handle_unverified_request
  forgery_protection_strategy.new(self).handle_unverified_request
end

Який зателефонує наступним чином :

def handle_unverified_request
  raise ActionController::InvalidAuthenticityToken
end

Замість того, щоб вимкнути захист csrf, краще додати у форму наступний рядок коду

<%= tag(:input, :type => "hidden", :name => request_forgery_protection_token.to_s, :value => form_authenticity_token) %> 

і якщо ви використовуєте form_for або form_tag для генерування форми, він автоматично додасть вищезазначений рядок коду у форму

Додавання наступного рядка у форму працював для мене:

<%= hidden_field_tag :authenticity_token, form_authenticity_token %>

Я не думаю, що загалом вимкнути захист CSRF до тих пір, поки ви не реалізуєте виключно API.

Переглядаючи документацію API Rails 4 для ActionController, я виявив, що можна вимкнути захист від підробки на контролері або на базі методу.

Наприклад, вимкнути захист CSRF для методів, які ви можете використовувати

class FooController < ApplicationController
  protect_from_forgery except: :index

Зустрічався з тією ж проблемою. Виправлено це, додавши до мого контролера:

      skip_before_filter :verify_authenticity_token, if: :json_request?

Ви пробували?

 protect_from_forgery with: :null_session, if: Proc.new {|c| c.request.format.json? }

Цей офіційний документ - розповідає про те, як належним чином вимкнути захист підробки для api http://api.rubyonrails.org/classes/ActionController/RequestForgeryProtection.html

Це функція безпеки в Rails. Додайте цей рядок коду у форму:

<%= hidden_field_tag :authenticity_token, form_authenticity_token %>

Документацію можна знайти тут: http://api.rubyonrails.org/classes/ActionController/RequestForgeryProtection.html

Ці функції додано для захисту та підробки.
Однак, щоб відповісти на ваше запитання, ось деякі матеріали. Ви можете додати ці рядки після імені контролера.

Так,

class NameController < ApplicationController
    skip_before_action :verify_authenticity_token

Ось декілька ліній для різних версій рейок.

Рейки 3

skip_before_filter: verify_authenticity_token

Рейки 4 :

skip_поперед запуску: verify_authenticity_token

Якщо ви маєте намір вимкнути цю функцію безпеки для всіх процедур контролера, ви можете змінити значення protection_from_forgery на : null_session у вашому файлі application_controller.rb.

Так,

class ApplicationController < ActionController::Base
  protect_from_forgery with: :null_session
end

Якщо ви використовуєте jQuery з рейками, будьте обережні, щоб дозволити вхід до методів, не перевіряючи маркер автентичності.

jquery-ujs може керувати жетонами для вас

Ви повинні мати його вже як частину дорогоцінного каміння jquery-rails, але, можливо, вам потрібно буде включити його в application.js з

//= require jquery_ujs

Це все, що вам потрібно - ваш дзвінок Ajax зараз повинен працювати

Для отримання додаткової інформації дивіться: https://github.com/rails/jquery-ujs

Додати authenticity_token: trueв тег форми

Коли ви визначаєте, що у вас є форма html, тоді вам слід включити рядок маркера аутентифікації, який повинен бути надісланий контролеру з міркувань безпеки. Якщо ви використовуєте реєстр форм-помічника для створення автентичності, токен додається до такої форми, як наступний.

<form accept-charset="UTF-8" action="/login/signin" method="post">
  <div style="display:none">
    <input name="utf8" type="hidden" value="&#x2713;" />
    <input name="authenticity_token" type="hidden" value="x37DrAAwyIIb7s+w2+AdoCR8cAJIpQhIetKRrPgG5VA=">
  </div>
    ...
</form>

Тож рішення проблеми - або додати поле автентичності_токена, або використовувати рейки для помічників, а не шкодити безпеці тощо.

Всі мої тести працювали чудово. Але чомусь я встановив мінливу середовища для не тесту:

export RAILS_ENV=something_non_test

Я забув зняти цю змінну, через що почав отримувати ActionController::InvalidAuthenticityTokenвиключення.

Після скидання $RAILS_ENVмої тести знову почали працювати.