tl;博士
在我的产品中,rails 在不同的页面访问时似乎有不同的 csrf 令牌,但我认为每个会话只有一个 csrf 令牌。我是否误解了 rails 的 csrf 令牌的工作原理?还是跟我的情况有关?
一些上下文信息:该网站实际上是在 tomcat 中运行的战争。部分代码通过jruby-rack在 Rails 上运行(请不要问为什么;)这是我所拥有的)。
细节
对于我所处的情况,我在 rail 的 csrf 代码中手动添加了调试代码。具体来说,我将其更改为verified_request? method:
def verified_request?
logger.info "printing info from `verified_request?` ..."
logger.info "\trequest_forgery_protection_token = #{request_forgery_protection_token}"
logger.info "\tform_authenticity_token = #{form_authenticity_token}"
logger.info "\tparams[request_forgery_protection_token] = #{params[request_forgery_protection_token]}"
logger.info "\trequest.headers['X-CSRF-Token'] = #{request.headers['X-CSRF-Token']}"
logger.info
!protect_against_forgery? || request.get? ||
form_authenticity_token == params[request_forgery_protection_token] ||
form_authenticity_token == request.headers['X-CSRF-Token']
end
下面是日志输出。重要的部分是'form_authenticity_token'在不同的时间是不同的(但它有时会重复自己)。这对我来说没有意义,因为该form_authenticity_token函数为每个会话返回相同的内容。
printing info from `verified_request?` ...
request_forgery_protection_token = authenticity_token
form_authenticity_token = wMPfNOM8s1Z0tLfeDJRpwKoWYGnA/K21SkgROLP2DMY=
params[request_forgery_protection_token] =
request.headers['X-CSRF-Token'] =
printing info from `verified_request?` ...
request_forgery_protection_token = authenticity_token
form_authenticity_token = viGS5kkOGvte7Sq+FpRsowiwujJNG8Y2WpTqqEShCy0=
params[request_forgery_protection_token] =
request.headers['X-CSRF-Token'] =
printing info from `verified_request?` ...
request_forgery_protection_token = authenticity_token
form_authenticity_token = lBpCrPHpuyyiyfCs30Jonz+vqOsQG1VKbbPOJl07DNE=
params[request_forgery_protection_token] =
request.headers['X-CSRF-Token'] = viGS5kkOGvte7Sq+FpRsowiwujJNG8Y2WpTqqEShCy0=
printing info from `verified_request?` ...
request_forgery_protection_token = authenticity_token
form_authenticity_token = wMPfNOM8s1Z0tLfeDJRpwKoWYGnA/K21SkgROLP2DMY=
params[request_forgery_protection_token] = viGS5kkOGvte7Sq+FpRsowiwujJNG8Y2WpTqqEShCy0=
request.headers['X-CSRF-Token'] =