1

我正在使用一些名为 jpegcam 的 JavaScript(使用回形针,遵循这些说明),并且在不同的情况下它会创建错误的 CSRF 令牌。这是唯一存在此问题的应用程序。坏标记在中间有“+”字符。

JS中的这部分是问题 webcam.set_api_url('<%= upload_users_path %>' + '?' + csrf_param + "=" + encodeURI(encodeURI(csrf_token)));

警告信息:

Started POST "/users/upload?authenticity_token=N0x/rDOgyC6AutbXzx8sZXLwDnB9zQ+NwWefXTpiSfE=" for 127.0.0.1 at 2013- 06-04 01:06:34 -0400
...
Parameters: {"authenticity_token"=>"N0x/rDOgyC6AutbXzx8sZXLwDnB9zQ NwWefXTpiSfE="}
 WARNING: Can't verify CSRF token authenticity
...
Completed 401 Unauthorized in 15ms

JS(在页面视图中)如下所示:

<script type="text/javascript">
function onload_complete(msg) {
    // fetch the CSRF meta tag data
    var csrf_param = $('meta[name=csrf-param]').attr('content');
    var csrf_token = $('meta[name=csrf-token]').attr('content');

    // reset the api URL appending the auth token parameter
    webcam.set_api_url('<%= upload_users_path %>' + '?' + csrf_param + "=" + encodeURI(encodeURI(csrf_token)));
}
...
</script>
4

2 回答 2

1

尝试将请求标头上的 csrf-token 作为 X-CSRF-Token 传递。 request.setRequestHeader("X-CSRF-Token", csrf_token)
上次我遇到 CSRF 问题时,这成功了

于 2013-06-04T13:55:15.810 回答
1

在 /application.js 中添加此代码

$(function() {
  $.ajaxSetup({
    beforeSend: function ( xhr ) {
      xhr.setRequestHeader("Accept", "text/javascript") 
    }
  }
}

希望能帮助到你

于 2013-06-04T15:17:16.677 回答