我正在尝试使用 ajax 帖子来执行操作。GET 请求工作正常,但是当我尝试 POST 时,我在 firebug 中看到“400 Bad Request”,并且视图返回“黑洞”响应。
这是 Jquery 请求:
$.ajax({
url:"/usermgmt/users/editUser",
type:"POST",
success:function(data) {
alert('Wow this actually worked');
//ko.applyBindings(self);
},
error:function() {
alert('This will never work');
}
});
这是由于 Cake 的安全设置还是我在这里遗漏了什么?
防止表单篡改是安全组件提供的基本功能之一。只要启用它,它就会将所有 POST 视为表单提交。
常规的手工编码 HTML 表单在启用安全组件的情况下无法使用,因此 JQuery 生成的 POST 也无法使用。当然,您可以使用安全组件提供的保护,但随后您会失去保护$this->Security->validatePost = false;。$this->Security->csrfCheck = false;
为了保持安全组件正常工作,您需要使用 CakePHP 表单助手来创建您将通过 ajax 发布的表单。这样,data[_Token][fields]和data[_Token][unlocked]隐藏字段就可以使用它们的键生成:
<?php
echo $this->Form->create('Test',array('id'=>'testform'));
echo $this->Form->input('Something');
echo $this->Form->submit();
echo $this->Form->end();
?>
这将生成如下内容:
<form action="/your/url" id="testform" method="post" accept-charset="utf-8">
<div style="display:none;">
<input type="hidden" name="_method" value="POST"/>
<input type="hidden" name="data[_Token][key]" value="9704aa0281d8b5a2fcf628e9fe6f6c8410d8f07a" id="Token937294161"/>
</div>
<div class="input text">
<input name="data[Test][Something]" class="required" type="text" id="TestSomething"/>
</div>
<div class="submit">
<input type="submit" />
</div>
<div style="display:none;">
<input type="hidden" name="data[_Token][fields]" value="0c81fda1883cf8f8b8ab39eb15d355eabcfee7a9%3A" id="TokenFields817327064"/>
<input type="hidden" name="data[_Token][unlocked]" value="" id="TokenUnlocked281911782"/>
</div>
</form>
现在只需在 JQuery 中序列化此表单,以便可以使用 ajax POST 发送它:
$('#testform').submit(function(event) {
$.ajax({
type: 'POST',
url: "/your/url",
data: $('#testform').serialize(),
success: function(data){
alert('Wow this actually worked');
},
error:function() {
alert('This will never work');
}
});
event.preventDefault(); // Stops form being submitted in traditional way
});
现在,如果您按下提交按钮,POST 将成功。
重要提示:由于表单助手的令牌只能与安全组件一起使用一次,因此此解决方案仅适用于您只打算在每页生成一次 POST 时。如果您需要能够在页面重新加载之间多次发布相同的表单,那么当您在控制器的开头添加安全组件时,您需要执行以下操作:
public $components = array(
'Security' => array(
'csrfUseOnce' => false
)
);
...这将允许令牌用于多个请求。它不那么安全,但您可以将其结合起来,csrfExpires以便令牌最终过期。这一切都记录在Cake book 的 CSRF 配置部分。
仅供参考,CakePHP 2.3 及更高版本现在包含仅用于此目的的 unlockedAction,用于您的控制器或 AppController 中的 beforeFilter 中。
$this->Security->unlockedActions = array('ajaxAction');
确保您将函数 editUser 放入:
public function beforeFilter(){
parent::beforeFilter()
$this->Auth->allow('editUser');
}
在用户控制器内部,
问候
约瑟夫的回答对我来说缺少一个细节。我的表单和 ajax 调用在 index.ctp 中并且正在调用 /controller/edit.ctp 所以我的 $this->Form->create 调用需要添加 'action'=>'/controller/edit'。