Rails 4真实性令牌

当我遇到一些真实性令牌问题时，我正在开发一个新的Rails 4应用程序（在Ruby 2.0.0-p0上）。

在编写一个响应json的控制器时（使用respond_toclass方法），当我尝试使用创建记录时，我得到了create开始获取ActionController::InvalidAuthenticityToken异常的动作curl。

我确定-H "Content-Type: application/json"设置好了，-d "<my data here>"但设置数据时还是没有运气。

我尝试使用Rails 3.2（在Ruby 1.9.3上）编写相同的控制器，但没有任何真实性令牌问题。我四处搜索，发现Rails 4中的真实性令牌有所更改。据我了解，它们不再自动插入表单中了吗？我想这在某种程度上影响了非HTML内容类型。

有什么方法可以解决此问题，而无需请求HTML表单，抢夺真实性令牌，然后再使用该令牌发出另一个请求？还是我完全错过了显而易见的东西？

编辑：我只是尝试使用脚手架在新的Rails 4应用程序中创建新记录，而没有进行任何更改，而且我遇到了相同的问题，所以我想这不是我做的。

我想我只是想通了。我更改了（新的）默认设置

protect_from_forgery with: :exception

至

protect_from_forgery with: :null_session

根据中的评论ApplicationController。

# Prevent CSRF attacks by raising an exception.
# For APIs, you may want to use :null_session instead.

您可以通过查看request_forgery_protecton.rb或以下几行的来源来了解差异：

在Rails 3.2中：

# This is the method that defines the application behavior when a request is found to be unverified.
# By default, \Rails resets the session when it finds an unverified request.
def handle_unverified_request
  reset_session
end

在Rails 4中：

def handle_unverified_request
  forgery_protection_strategy.new(self).handle_unverified_request
end

这将调用以下内容：

def handle_unverified_request
  raise ActionController::InvalidAuthenticityToken
end

与其关闭csrf保护，不如将以下代码行添加到表单中

<%= tag(:input, :type => "hidden", :name => request_forgery_protection_token.to_s, :value => form_authenticity_token) %> 

如果您使用form_for或form_tag生成表单，则它将自动在表单中添加上述代码行

在表单中添加以下行对我有用：

<%= hidden_field_tag :authenticity_token, form_authenticity_token %>

只要您不专门实现API，我一般不建议关闭CSRF保护。

查看ActionController的Rails 4 API文档时，我发现您可以在每个控制器或每个方法基础上关闭伪造保护。

例如，为您可以使用的方法关闭CSRF保护

class FooController < ApplicationController
  protect_from_forgery except: :index

遇到了同样的问题。通过添加到我的控制器来修复它：

      skip_before_filter :verify_authenticity_token, if: :json_request?

你试过了吗？

 protect_from_forgery with: :null_session, if: Proc.new {|c| c.request.format.json? }

此官方文档-讨论如何正确关闭api的伪造保护 http://api.rubyonrails.org/classes/ActionController/RequestForgeryProtection.html

这是Rails中的一项安全功能。以以下形式添加以下代码行：

<%= hidden_field_tag :authenticity_token, form_authenticity_token %>

可以在这里找到文档：http : //api.rubyonrails.org/classes/ActionController/RequestForgeryProtection.html

添加这些功能是为了安全和防伪目的。
但是，为回答您的问题，这里有一些输入。您可以在控制器名称之后添加这些行。

像这样

class NameController < ApplicationController
    skip_before_action :verify_authenticity_token

这是用于不同版本的导轨的一些行。

导轨3

skip_before_filter：verify_authenticity_token

Rails 4：

skip_before_action：verify_authenticity_token

如果您打算对所有控制器例程禁用此安全功能，则可以将application_controller.rb文件上的protect_from_forgery的值更改为：null_session。

像这样

class ApplicationController < ActionController::Base
  protect_from_forgery with: :null_session
end

如果您将jQuery与rails一起使用，请当心在不验证真实性令牌的情况下允许进入方法。

jquery-ujs可以为您管理令牌

您应该已经将它作为jquery-rails gem的一部分，但是您可能需要将它包含在application.js中，

//= require jquery_ujs

这就是您所需的一切-您的ajax调用现在应该可以了

有关更多信息，请参见：https : //github.com/rails/jquery-ujs

添加authenticity_token: true到表单标签

当您定义自己的html表单时，您必须包括身份验证令牌字符串，出于安全原因，该字符串应发送给控制器。如果使用rails form helper生成真实性令牌，则将其添加到表单，如下所示。

<form accept-charset="UTF-8" action="/login/signin" method="post">
  <div style="display:none">
    <input name="utf8" type="hidden" value="&#x2713;" />
    <input name="authenticity_token" type="hidden" value="x37DrAAwyIIb7s+w2+AdoCR8cAJIpQhIetKRrPgG5VA=">
  </div>
    ...
</form>

因此，解决该问题的方法是添加authenticity_token字段或使用rails表单帮助程序，而不是损害安全性等。

我所有的测试工作正常。但是出于某种原因，我将环境变量设置为非测试：

export RAILS_ENV=something_non_test

我忘记取消设置此变量，因此我开始遇到ActionController::InvalidAuthenticityToken异常。

取消设置后$RAILS_ENV，我的测试再次开始工作。