以下是由我的Rails应用程序中的表单引起的错误:
Processing UsersController#update (for **ip** at 2010-07-29 10:52:27) [PUT]
Parameters: {"commit"=>"Update", "action"=>"update", "_method"=>"put", "authenticity_token"=>"ysiDvO5s7qhJQrnlSR2+f8jF1gxdB7T9I2ydxpRlSSk=", **more parameters**}
ActionController::InvalidAuthenticityToken (ActionController::InvalidAuthenticityToken):
get如您所见,所有非请求都会发生这种情况authenticity_token。
Answers:
我有同样的问题,但页面已缓存。页面使用过时的真实性令牌进行缓冲,并且所有页面操作都使用方法post / put / delete进行识别,这是伪造尝试。错误(422无法处理的实体)已返回给用户。
Rails 3的解决方案:
添加:
skip_before_filter :verify_authenticity_token 或作为Rails 4中指出的“ sagivo”添加:
skip_before_action :verify_authenticity_token在进行缓存的页面上。
作为@toobulkeh评论说,这不是一个漏洞:index,:show行动,但使用该提防:put,:post行动。
例如:
caches_page :index, :show
skip_before_filter :verify_authenticity_token, :only => [:index, :show]
参考:http : //api.rubyonrails.org/classes/ActionController/RequestForgeryProtection/ClassMethods.html
barlop- Rails 4.2添加的注释不建议使用skip_before_filter,而建议使用skip_before_action https://guides.rubyonrails.org/4_2_release_notes.html “ * _filter系列方法已从文档中删除。不建议使用* _action系列方法方法族”
对于Rails 6(如“ collimarco”所指出的那样),您可以使用skip_forgery_protection,并且可以安全地将其用于不使用会话数据的REST API。
skip_before_action :verify_authenticity_token
:index, :show。但是要警惕将其付诸:put, :post行动!
对我来说,在Rails 4下导致此问题的原因不见了,
<%= csrf_meta_tags %>在我的主要应用程序布局中排行。当我重写布局时,我不小心删除了它。
如果这不在主布局中,则您需要CSRF令牌的任何页面上都需要它。
导致此错误的原因有多种(与Rails 4有关)。
1.检查<%= csrf_meta_tags %>存在的页面布局
,如果使用2令牌正在使用AJAX发送支票真伪来电form_for助手与remote: trueoption.If不是你可以包括行<%= hidden_field_tag :authenticity_token, form_authenticity_token %>withing形式块。
3.如果正在从缓存的页面发送请求,请使用片段缓存来排除发送请求的页面部分,例如,button_to等等。否则令牌将失效/无效。
我不愿意取消csrf保护...
只需添加authenticity_token表单即可为我修复它。
<%= hidden_field_tag :authenticity_token, form_authenticity_token %>真实性令牌是在您的视图中生成的一个随机值,用于证明请求是从您网站上的表单而非其他地方提交的。这可以防止CSRF攻击:
http://en.wikipedia.org/wiki/Cross-site_request_forgery
检查一下该客户端/ IP是谁,看起来他们在使用您的网站而不加载您的视图。
如果您需要进一步调试,那么这个问题是一个很好的起点:了解Rails的真实性令牌
编辑进行解释:这意味着他们正在调用操作来处理您的表单提交,而无需在您的网站上呈现您的表单。这可能是恶意的(例如发布垃圾评论),也可能表明客户试图直接使用您的Web服务API。您是唯一可以根据您的产品的性质并分析您的要求的人。
ActionController::InvalidAuthenticityToken也可能是由于反向代理配置错误引起的。如果在堆栈跟踪中,您得到的行看起来像是这种情况Request origin does not match request base_url。
当使用反向代理(例如nginx)作为HTTPS请求的接收者并将未加密的请求传输到后端(例如Rails应用)时,后端(更具体地说:Rack)需要一些标头,其中包含有关原始客户端请求的更多信息为了能够应用各种处理任务和安全措施。
更多详细信息请参见:https://github.com/rails/rails/issues/22965。
TL; DR:解决方案是添加一些标头:
upstream myapp {
server unix:///path/to/puma.sock;
}
location / {
proxy_pass http://myapp;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Ssl on; # Optional
proxy_set_header X-Forwarded-Port $server_port;
proxy_set_header X-Forwarded-Host $host;
}为时已晚,但我找到了解决方案。
定义自己的html表单时,出于安全原因,您会丢失应发送给控制器的身份验证令牌字符串。但是,当您使用Rails表单帮助程序生成表单时,您将得到如下所示的内容
<form accept-charset="UTF-8" action="/login/signin" method="post">
<div style="display:none">
<input name="utf8" type="hidden" value="✓">
<input name="authenticity_token" type="hidden"
value="x37DrAAwyIIb7s+w2+AdoCR8cAJIpQhIetKRrPgG5VA=">
.
.
.
</div>
</form>因此,解决该问题的方法是添加authenticity_token字段或使用rails表单助手,而不是删除,降级或升级rails。
我们遇到了同样的问题,但是注意到这仅适用于使用http://的请求,而不适用于使用https://的请求。原因是secure: truesession_store:
Rails.application.config.session_store(
:cookie_store,
key: '_foo_session',
domain: '.example.com',
secure: true
)通过使用HTTPS〜Everywhere固定:)
rails s(非SSL)而不是为开发设置的SSL端点时遇到此问题。直到我读到您的评论后,我才意识到自己在做什么。一旦我切换回使用SSL,一切就会重新开始。谢谢!
secure: true我写的secure: !Rails.env.development?
对于Rails 5,最好添加而
protect_from_forgery prepend: true不是跳过verify_authentication_token
我检查了<%= csrf_meta_tags%>是否存在,并且清除浏览器中的cookie对我来说很有用。