4

我正在关注http://railscasts.com/episodes/250-authentication-from-scratch进行简单的身份验证。它按预期工作。我的应用程序中有一个模型,其中包含以下内容partial

<%= content_tag_for(:li, post) do %>
  <%= link_to 'Delete', post, :confirm => 'Are you sure?', :method => :delete, :remote => true %>
<% end %>

在内部调用index.html.erb如下:

<%= render :partial => @posts.reverse %>

destroy.js.erb如下,对象销毁成功时调用。

$('#<%= dom_id(@post) %>').css('background', 'red');
$('#<%= dom_id(@post) %>').hide();

单击delete按钮后,post对象将被正确删除,并且destroy.js.erb也被正确渲染。但不知何故,用户已注销。以下是我的代码posts_controller.rb

  def destroy
    logger.error 'in destroy'
    @post = Job.find(params[:id])
    @post.destroy

    respond_to do |format|
      format.html { redirect_to(posts_url) }
      format.xml  { head :ok }
      format.js
    end
  end

任何线索为什么会出现这种行为?

而且,如果我:remote => truedelete链接中删除 ,那么用户仍然处于登录状态。我在该destroy方法中的日志语句在session任何一种情况下都不会被调用,但是如果 ':remote=>true则会话以某种方式搞砸了。在检查 cookie 时,我发现 cookie 没有被破坏,但是在调用destroyon 方法时它确实被修改了posts。不知道为什么会发生这种情况。

4

1 回答 1

4

听起来您遇到了旨在防止跨站点请求伪造的 rails 安全功能。添加:remote => true会导致请求通过没有 CSRF 安全令牌的 ajax 提交,因此 rails 会破坏会话,因为它认为这是 CSRF 攻击。要解决这个问题,您有几个选择:

  1. 一个快速而肮脏(且不安全)的解决方案是关闭该请求的安全检查。为此,请将此行添加到控制器的顶部:

    skip_before_filter :verify_authenticity_token, :only => [:destroy]

  2. 更安全的解决方案是使用 AJAX 调用提交CSRF令牌。我认为如果您将远程链接更改为button_to. 在这里阅读更多。

    <%= button_to 'Delete', post, :confirm => 'Are you sure?', :method => :delete, :remote => true %>

  3. 您还可以使用 cookie 来存储 current_user 而不是会话。这对安全性的影响将取决于您的应用程序的详细信息。

于 2012-08-29T05:53:45.780 回答