ПОПЕРЕДЖЕННЯ: Неможливо перевірити рейки справжності токена CSRF

Я надсилаю дані з виду на контролер з AJAX, і я отримав цю помилку:

Попередження: Неможливо перевірити справжність маркера CSRF

Думаю, я мушу надсилати цей маркер із даними.

Хтось знає, як я можу це зробити?

Редагувати: Моє рішення

Я зробив це, поставивши наступний код у публікації AJAX:

headers: {
  'X-Transaction': 'POST Example',
  'X-CSRF-Token': $('meta[name="csrf-token"]').attr('content')
},

Ви повинні зробити це:

1. Переконайтеся, що у вас є <%= csrf_meta_tag %>ваш макет

2. Додати beforeSendдо всіх запитів ajax, щоб встановити заголовки, як показано нижче:

$.ajax({ url: 'YOUR URL HERE',
  type: 'POST',
  beforeSend: function(xhr) {xhr.setRequestHeader('X-CSRF-Token', $('meta[name="csrf-token"]').attr('content'))},
  data: 'someData=' + someData,
  success: function(response) {
    $('#someDiv').html(response);
  }
});

Щоб надіслати маркер у всіх запитах, які ви можете використовувати:

$.ajaxSetup({
  headers: {
    'X-CSRF-Token': $('meta[name="csrf-token"]').attr('content')
  }
});

Найкращий спосіб зробити це насправді просто використовувати <%= form_authenticity_token.to_s %>для друку маркера безпосередньо у вашому коді рейлів. Вам не потрібно використовувати javascript для пошуку дому для маркера csrf, як згадують інші публікації. просто додайте параметр заголовків, як показано нижче;

$.ajax({
  type: 'post',
  data: $(this).sortable('serialize'),
  headers: {
    'X-CSRF-Token': '<%= form_authenticity_token.to_s %>'
  },
  complete: function(request){},
  url: "<%= sort_widget_images_path(@widget) %>"
})

Якщо я добре пам’ятаю, вам потрібно додати наступний код до форми, щоб позбутися цієї проблеми:

<%= token_tag(nil) %>

Не забудьте параметр.

Дійсно найпростіший спосіб. Не турбуйтеся із зміною заголовків.

Переконайтесь, що у вас є:

<%= csrf_meta_tag %> in your layouts/application.html.erb

Просто виконайте приховане поле введення так:

<input name="authenticity_token" 
               type="hidden" 
               value="<%= form_authenticity_token %>"/>

Або якщо ви хочете посаду jQuery ajax:

$.ajax({     
    type: 'POST',
    url: "<%= someregistration_path %>",
    data: { "firstname": "text_data_1", "last_name": "text_data2", "authenticity_token": "<%= form_authenticity_token %>" },                                                                                  
    error: function( xhr ){ 
      alert("ERROR ON SUBMIT");
    },
    success: function( data ){ 
      //data response can contain what we want here...
      console.log("SUCCESS, data="+data);
    }
});

Перехід із старого додатка на рейки 3.1, включаючи мета-тег csrf, все ще не вирішує його. У блозі rubyonrails.org вони дають кілька порад щодо оновлення, а саме цього рядка jquery, який повинен міститись у головному розділі вашого макета:

$(document).ajaxSend(function(e, xhr, options) {
 var token = $("meta[name='csrf-token']").attr("content");
  xhr.setRequestHeader("X-CSRF-Token", token);
});

взяті з цього повідомлення в блозі: http://weblog.rubyonrails.org/2011/2/8/csrf-protection-bypass-in-ruby-on-rails .

У моєму випадку сеанс скидався на кожен запит ajax. Додавання вищевказаного коду вирішило цю проблему.

1. Переконайтеся, що у вас є <%= csrf_meta_tag %>ваш макет
2. Додайте а, beforeSendщоб включити csrf-маркер у запит ajax для встановлення заголовка. Це потрібно лише для postзапитів.

Код для зчитування маркера csrf доступний у програмі rails/jquery-ujs, тому їм найпростіше просто скористатися таким чином:

$.ajax({
  url: url,
  method: 'post',
  beforeSend: $.rails.CSRFProtection,
  data: {
    // ...
  }
})

Я просто думав, що зв’яжу це тут, оскільки стаття має більшість відповідей, які ви шукаєте, і це також дуже цікаво

http://www.kalzumeus.com/2011/11/17/i-saw-an-extremely-subtle-bug-today-and-i-just-have-to-tell-someone/

Тут викладені правильні відповіді правильні, але вони не спрацюють, якщо ви виконуєте міждоменні запити, тому що сеанс буде недоступним, якщо ви прямо не скажете jQuery продати cookie сесії. Ось як це зробити:

$.ajax({ 
  url: url,
  type: 'POST',
  beforeSend: function(xhr) {
    xhr.setRequestHeader('X-CSRF-Token', $('meta[name="csrf-token"]').attr('content'))
  },
  xhrFields: {
    withCredentials: true
  }
});

Ви можете написати це глобально, як нижче.

Звичайний JS:

$(function(){

    $('#loader').hide()
    $(document).ajaxStart(function() {
        $('#loader').show();
    })
    $(document).ajaxError(function() {
        alert("Something went wrong...")
        $('#loader').hide();
    })
    $(document).ajaxStop(function() {
        $('#loader').hide();
    });
    $.ajaxSetup({
        beforeSend: function(xhr) {xhr.setRequestHeader('X-CSRF-Token', $('meta[name="csrf-token"]').attr('content'))}
    });
});

Сценарій кави:

  $('#loader').hide()
  $(document).ajaxStart ->
    $('#loader').show()

  $(document).ajaxError ->
    alert("Something went wrong...")
    $('#loader').hide()

  $(document).ajaxStop ->
    $('#loader').hide()

  $.ajaxSetup {
    beforeSend: (xhr) ->
      xhr.setRequestHeader('X-CSRF-Token', $('meta[name="csrf-token"]').attr('content'))
  }

ой ..

Я пропустив наступний рядок у своїй програмі application.js

//= require jquery_ujs

Я замінив його та його роботу ..

======= ОНОВЛЕНО =========

Через 5 років я знову з тією ж помилкою, тепер у мене є абсолютно нові Rails 5.1.6 , і я знову знайшов цю посаду. Так само, як коло життя.

Тепер у чому полягала проблема: Rails 5.1 видалив підтримку jquery та jquery_ujs за замовчуванням та додав

//= require rails-ujs in application.js

Це:

1. діалогове вікно підтвердження сили для різних дій;
2. робити не-GET запити від гіперпосилань;
3. змушуйте форми або гіперпосилання подавати дані асинхронно з Ajax;
4. кнопки надсилання автоматично відключаються під час надсилання форми, щоб запобігти подвійному клацанню. (від: https://github.com/rails/rails-ujs/tree/master )

Але чому він не включає маркер csrf для запиту ajax? Якщо хтось детально про це знає, просто прокоментуйте мене. Я ціную це.

У будь-якому випадку я додав у власний js-файл наступне, щоб він працював (дякую за інші відповіді, які допомогли мені дійти до цього коду):

$( document ).ready(function() {
  $.ajaxSetup({
    headers: {
      'X-CSRF-Token': Rails.csrfToken()
    }
  });
  ----
  ----
});

Якщо ви не використовуєте JQuery і використовувати що - щось на зразок вибірки API для запитів ви можете використовувати наступну команду, щоб отримати csrf-token:

document.querySelector('meta[name="csrf-token"]').getAttribute('content')

fetch('/users', {
  method: 'POST',
  headers: {
    'Accept': 'application/json',
    'Content-Type': 'application/json',
    'X-CSRF-Token': document.querySelector('meta[name="csrf-token"]').getAttribute('content')},
    credentials: 'same-origin',
    body: JSON.stringify( { id: 1, name: 'some user' } )
    })
    .then(function(data) {
      console.log('request succeeded with JSON response', data)
    }).catch(function(error) {
      console.log('request failed', error)
    })

Використовуйте jquery.csrf ( https://github.com/swordray/jquery.csrf ).

• Рейки 5.1 або новіші

  $ yarn add jquery.csrf

  //= require jquery.csrf

• Рейки 5.0 або раніше

  source 'https://rails-assets.org' do
    gem 'rails-assets-jquery.csrf'
  end

  //= require jquery.csrf

• Вихідний код

  (function($) {
    $(document).ajaxSend(function(e, xhr, options) {
      var token = $('meta[name="csrf-token"]').attr('content');
      if (token) xhr.setRequestHeader('X-CSRF-Token', token);
    });
  })(jQuery);

Якщо ви використовуєте javascript з jQuery для генерації маркера у вашій формі, це працює:

<input name="authenticity_token" 
       type="hidden" 
       value="<%= $('meta[name=csrf-token]').attr('content') %>" />

Очевидно, що вам потрібно мати <%= csrf_meta_tag %>в своєму Ruby макет.

Для тих, хто потребує відповіді, що не відповідає jQuery, ви можете просто додати наступне:

xmlhttp.setRequestHeader ('X-CSRF-Token', $ ('meta [name = "csrf-token"]'). attr ('content'));

Тут можна навести дуже простий приклад:

xmlhttp.open ("POST", "example.html", true);
xmlhttp.setRequestHeader ('X-CSRF-Token', $ ('meta [name = "csrf-token"]'). attr ('content'));
xmlhttp.send ();

Я боровся з цим питанням цілими днями. Будь-який дзвінок GET працював правильно, але всі PUT створювали б помилку "Неможливо перевірити справжність маркера CSRF". Мій веб-сайт працював нормально, поки я не додав сертифікат SSL до nginx.

Нарешті я натрапив на цей відсутній рядок у своїх налаштуваннях nginx:

location @puma { 
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 
    proxy_set_header Host $http_host; 
    proxy_redirect off;
    proxy_set_header X-Forwarded-Proto https;   # Needed to avoid 'WARNING: Can't verify CSRF token authenticity'
    proxy_pass http://puma; 
}

Після додавання відсутнього рядка "proxy_set_header X-Forwarded-Proto https;" всі мої помилки маркера CSRF вийшли з роботи.

Сподіваємось, це допомагає комусь іншому, який також б'є головою об стіну. ха-ха

якщо комусь потрібна допомога, пов’язана з Uploadify та Rails 3.2 (як я, коли я переглядала цю публікацію), цей зразок програми може бути корисним: https://github.com/n0ne/Uploadify-Carrierwave-Rails-3.2.3/blob/master /app/views/pictures/index.html.erb

також перевірити рішення контролера в цьому додатку

Я використовую Rails 4.2.4 і не можу зрозуміти, чому я отримую:

Can't verify CSRF token authenticity

У мене в макеті:

<%= csrf_meta_tags %>

У контролері:

protect_from_forgery with: :exception

У виклику tcpdump -A -s 999 -i lo port 3000було показано встановлення заголовка (незважаючи на те, що не потрібно було встановлювати заголовки ajaxSetup- це вже було зроблено):

X-CSRF-Token: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
DNT: 1
Content-Length: 125
authenticity_token=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Врешті-решт це не вдалось, оскільки у мене було вимкнено печиво. CSRF не працює без включення файлів cookie, тому це ще одна можлива причина, якщо ви бачите цю помилку.