ด้านล่างเป็นข้อผิดพลาดที่เกิดจากแบบฟอร์มในแอปพลิเคชัน Rails ของฉัน:
Processing UsersController#update (for **ip** at 2010-07-29 10:52:27) [PUT]
Parameters: {"commit"=>"Update", "action"=>"update", "_method"=>"put", "authenticity_token"=>"ysiDvO5s7qhJQrnlSR2+f8jF1gxdB7T9I2ydxpRlSSk=", **more parameters**}
ActionController::InvalidAuthenticityToken (ActionController::InvalidAuthenticityToken):
นี้เกิดขึ้นทุกครั้งที่ไม่ได้getแจ้งความประสงค์และที่คุณเห็นauthenticity_tokenจะมี
คำตอบ:
ฉันมีปัญหาเดียวกัน แต่มีหน้าซึ่งถูกแคชหน้า หน้าถูกบัฟเฟอร์ด้วยโทเค็นของแท้ที่เก่าแล้วและการดำเนินการทั้งหมดโดยใช้วิธีการโพสต์ / วาง / ลบที่ได้รับการยอมรับว่าเป็นความพยายามปลอมแปลง ข้อผิดพลาด (422 ไม่สามารถประมวลผลได้) ถูกส่งคืนไปยังผู้ใช้
ทางออกสำหรับ Rails 3:
เพิ่ม:
skip_before_filter :verify_authenticity_token หรือตามที่ "sagivo" ชี้ให้เห็นใน Rails 4 เพิ่ม:
skip_before_action :verify_authenticity_tokenบนหน้าเว็บที่ทำการแคช
ตามที่ @toobulkeh แสดงความคิดเห็นว่านี่ไม่ใช่ช่องโหว่ใน:index, :showการกระทำ, แต่ระวังการใช้สิ่งนี้กับ:put, :postการกระทำ
ตัวอย่างเช่น:
caches_page :index, :show
skip_before_filter :verify_authenticity_token, :only => [:index, :show]
การอ้างอิง: http://api.rubyonrails.org/classes/ActionController/RequestForgeryProtection/ClassMethods.html
หมายเหตุเพิ่มโดย barlop- Rails 4.2 คัดค้าน skip_before_filter เพื่อสนับสนุน skip_before_action https://guides.rubyonrails.org/4_2_release_notes.html "การใช้งานตระกูล * _filter ได้ถูกลบออกจากเอกสารประกอบ ตระกูลของวิธีการ "
สำหรับRails 6 (ตามที่ "collimarco" ชี้ให้เห็น) คุณสามารถใช้skip_forgery_protectionและมันปลอดภัยที่จะใช้สำหรับ REST API ที่ไม่ได้ใช้ข้อมูลเซสชัน
skip_before_action :verify_authenticity_token
:index, :showการกระทำ แต่ระวังการ:put, :postกระทำนี้!
สำหรับฉันสาเหตุของปัญหานี้ภายใต้ Rails 4 หายไป
<%= csrf_meta_tags %>จัดเรียงในแอปพลิเคชันหลักของฉัน ฉันลบมันโดยไม่ได้ตั้งใจเมื่อฉันเขียนเค้าโครงของฉันอีกครั้ง
หากนี่ไม่ได้อยู่ในเลย์เอาต์หลักคุณจะต้องใช้มันในหน้าใด ๆ ที่คุณต้องการให้เปิดโทเค็น CSRF
มีสาเหตุหลายประการสำหรับข้อผิดพลาดนี้ (เกี่ยวข้องกับ Rails 4)
1. ตรวจสอบ<%= csrf_meta_tags %>การนำเสนอในเค้าโครงหน้า
2. ตรวจสอบโทเค็นของแท้จะถูกส่งด้วยการโทร AJAX หากใช้ตัวform_forช่วยที่มีตัวเลือกremote: trueถ้าไม่คุณสามารถรวมบรรทัดที่<%= hidden_field_tag :authenticity_token, form_authenticity_token %>มีบล็อกแบบฟอร์ม
3. หากมีการส่งคำขอจากหน้าแคชให้ใช้การแคชส่วนเพื่อแยกส่วนของหน้าที่ส่งคำขอbutton_toเป็นต้นมิฉะนั้นโทเค็นจะล้าสมัย / ไม่ถูกต้อง
ฉันจะลังเลที่จะลบล้างการป้องกัน csrf ...
เพียงแค่เพิ่มauthenticity_tokenในรูปแบบคงที่สำหรับฉัน
<%= hidden_field_tag :authenticity_token, form_authenticity_token %>โทเค็นของแท้เป็นค่าสุ่มที่สร้างขึ้นในมุมมองของคุณเพื่อพิสูจน์ว่าคำขอถูกส่งมาจากแบบฟอร์มบนเว็บไซต์ของคุณไม่ใช่ที่อื่น สิ่งนี้จะช่วยป้องกันการโจมตี CSRF:
http://en.wikipedia.org/wiki/Cross-site_request_forgery
ตรวจสอบว่าลูกค้า / IP นั้นเป็นใครดูเหมือนว่าพวกเขากำลังใช้ไซต์ของคุณโดยไม่โหลดมุมมองของคุณ
หากคุณต้องการแก้ปัญหาเพิ่มเติมคำถามนี้เป็นจุดเริ่มต้นที่ดี: ทำความเข้าใจโทเค็นของแท้สำหรับ Rails
แก้ไขเพื่ออธิบาย: หมายความว่าพวกเขากำลังเรียกการกระทำเพื่อประมวลผลการส่งแบบฟอร์มของคุณโดยไม่ต้องแสดงฟอร์มของคุณบนเว็บไซต์ของคุณ สิ่งนี้อาจเป็นอันตราย (เช่นโพสต์ความคิดเห็นสแปม) หรืออาจระบุว่าลูกค้าพยายามใช้ API บริการเว็บของคุณโดยตรง คุณเป็นคนเดียวที่สามารถตอบได้โดยธรรมชาติของผลิตภัณฑ์ของคุณและวิเคราะห์คำขอของคุณ
ActionController::InvalidAuthenticityTokenอาจเกิดจากพร็อกซีย้อนกลับที่กำหนดค่าผิด Request origin does not match request base_urlเป็นกรณีนี้ถ้าในกองติดตามคุณจะได้รับบรรทัดมองเช่น
เมื่อใช้ reverse proxy (เช่น nginx) เป็นผู้รับสำหรับการร้องขอ HTTPS และส่งคำขอที่ไม่ได้เข้ารหัสไปยังแบ็กเอนด์ (เช่นแอพ Rails) แบ็กเอนด์ (เฉพาะ: แร็ค) คาดว่าส่วนหัวบางส่วนที่มีข้อมูลเพิ่มเติมเกี่ยวกับคำขอไคลเอนต์ดั้งเดิม เพื่อให้สามารถใช้งานการประมวลผลและมาตรการความปลอดภัยต่าง ๆ ได้
รายละเอียดเพิ่มเติมมีอยู่ที่นี่: https://github.com/rails/rails/issues/22965
TL; DR: โซลูชันคือการเพิ่มส่วนหัวบางส่วน:
upstream myapp {
server unix:///path/to/puma.sock;
}
location / {
proxy_pass http://myapp;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Ssl on; # Optional
proxy_set_header X-Forwarded-Port $server_port;
proxy_set_header X-Forwarded-Host $host;
}
สายเกินไปที่จะตอบ แต่ฉันพบวิธีแก้ปัญหา
เมื่อคุณกำหนดรูปแบบ html ของคุณเองคุณจะพลาดสายโทเค็นการตรวจสอบความถูกต้องที่ควรส่งไปยังตัวควบคุมด้วยเหตุผลด้านความปลอดภัย แต่เมื่อคุณใช้ตัวช่วยสร้าง Rails เพื่อสร้างฟอร์มคุณจะได้รับสิ่งต่อไปนี้
<form accept-charset="UTF-8" action="/login/signin" method="post">
<div style="display:none">
<input name="utf8" type="hidden" value="✓">
<input name="authenticity_token" type="hidden"
value="x37DrAAwyIIb7s+w2+AdoCR8cAJIpQhIetKRrPgG5VA=">
.
.
.
</div>
</form>
ดังนั้นทางออกของปัญหาคือการเพิ่มเขตข้อมูล authenticity_token หรือใช้ตัวช่วยสร้างรูปแบบรางแทนจากนั้นจึงนำออกลดระดับหรืออัพเกรดราง
หากคุณได้ทำการrake rails:updateเปลี่ยนแปลงหรือเมื่อเร็ว ๆ นี้ของคุณconfig/initializers/session_store.rbนี่อาจเป็นอาการของคุกกี้เก่าในเบราว์เซอร์ หวังว่าสิ่งนี้จะทำในการพัฒนา / ทดสอบ (สำหรับฉัน) และคุณสามารถล้างคุกกี้เบราว์เซอร์ทั้งหมดที่เกี่ยวข้องกับโดเมนที่เป็นปัญหา
หากนี่เป็นการผลิตและคุณเปลี่ยนkeyให้ลองเปลี่ยนกลับไปใช้คุกกี้เก่า (<- แค่การเก็งกำไร)
ฉันมีปัญหากับการโทรจาวาสคริปต์ ฉันแก้ไขด้วยเพียงต้องการ jquery_ujs เป็นไฟล์ application.js
เรามีปัญหาเดียวกัน แต่สังเกตว่าเป็นเพียงคำขอที่ใช้ http: // แต่ไม่ใช่กับ https: // สาเหตุมีsecure: trueไว้สำหรับ session_store:
Rails.application.config.session_store(
:cookie_store,
key: '_foo_session',
domain: '.example.com',
secure: true
)แก้ไขโดยใช้ HTTPS ~ ทุกที่ :)
rails s(ไม่ใช่ SSL) แทนจุดสิ้นสุด SSL ที่ฉันตั้งค่าไว้สำหรับการพัฒนา มันไม่ได้จนกว่าฉันจะอ่านความคิดเห็นของคุณว่าฉันรู้ว่าฉันกำลังทำอะไรอยู่ เมื่อฉันเปลี่ยนกลับไปใช้ SSL สิ่งต่างๆก็เริ่มทำงานอีกครั้ง ขอบคุณ!
secure: trueฉันเขียนsecure: !Rails.env.development?
สำหรับ rails 5 ควรใส่
protect_from_forgery prepend: trueมากกว่าที่จะข้ามverify_authentication_token
เพิ่ม
//= require rails-ujs ใน
\app\assets\javascripts\application.jsฉันมีปัญหานี้และสาเหตุก็เพราะฉันคัดลอกและวางคอนโทรลเลอร์ในแอปของฉัน ฉันต้องการที่จะเปลี่ยนApplicationControllerเป็นApplicationController::Base
ฉันมีปัญหาเดียวกันบน localhost ฉันเปลี่ยนโดเมนสำหรับแอปแล้ว แต่ใน URL และไฟล์โฮสต์ยังคงมีโดเมนเดิมอยู่ อัปเดตไฟล์บุ๊คมาร์คและโฮสต์ของเบราว์เซอร์เพื่อใช้โดเมนใหม่และตอนนี้ทุกอย่างทำงานได้ดี
บางทีคุณมีการตั้งค่า NGINX สำหรับ HTTPS แต่ใบรับรองของคุณไม่ถูกต้อง ฉันเคยมีปัญหาที่คล้ายกันในอดีตและการเปลี่ยนเส้นทางจาก http ไปยัง https แก้ปัญหา
ฉันตรวจสอบว่า <% = csrf_meta_tags%> ปรากฏขึ้นและมีการล้างคุกกี้ในเบราว์เซอร์ที่ใช้งานได้สำหรับฉัน
การปฏิบัติตามคำแนะนำของ Chrome Lighthouse สำหรับการโหลดแอปพลิเคชันที่เร็วขึ้นฉันได้ทำการปรับ Javascript ของฉัน:
views/layout/application.html.erb
<%= javascript_include_tag 'application', 'data-turbolinks-track' => 'reload', async: true %>สิ่งนี้ทำลายทุกสิ่งและได้รับข้อผิดพลาดของโทเค็นสำหรับฟอร์มระยะไกลของฉัน การลบการasync: trueแก้ไขปัญหา
คำตอบนี้เฉพาะเจาะจงมากกับ Ruby on Rails แต่หวังว่ามันจะช่วยใครซักคน
คุณต้องรวมโทเค็น CSRF กับทุกคำขอที่ไม่ใช่ GET หากคุณคุ้นเคยกับการใช้ JQuery Rails จะมีไลบรารีผู้ช่วยเหลือที่เรียกjquery-ujsว่าสร้างอยู่ด้านบนและเพิ่มฟังก์ชันการทำงานที่ซ่อนอยู่ หนึ่งในสิ่งที่มันจะรวมโทเค็น CSRF โดยอัตโนมัติในทุกajaxคำขอ ดูที่นี่
หากคุณเปลี่ยนไปจากมันเหมือนฉันคุณอาจพบว่าตัวเองมีข้อผิดพลาด คุณสามารถส่งโทเค็นด้วยตนเองหรือใช้ไลบรารีอื่นเพื่อช่วยคัดลอกโทเค็นจาก DOM ดูโพสต์นี้สำหรับรายละเอียดเพิ่มเติม
ใน Rails 5 เราต้องเพิ่มโค้ด 2 บรรทัด
skip_before_action :verify_authenticity_token
protect_from_forgery prepend: true, with: :exceptionการติดตั้ง
gem 'remotipart' สามารถช่วย
แก้ไขปัญหาโดยการลดระดับเป็น 2.3.5 จาก 2.3.8 (รวมถึงปัญหา 'คุณกำลังถูกเปลี่ยนเส้นทาง' ที่น่าอับอาย)