21

我在尝试更新(或创建)记录时收到 Invalid CSRF token 错误。我正在使用 Elixir v1.0.3、Erlang/OTP 17 [erts-6.3] 和 Phoenix v0.8.0(我想,我不确定如何检查 Phoenix 的版本)。我正在创建一个 Web 应用程序,主要遵循 Phoenix 指南和 Elixir Dose Jobsite Example 资源。但是,当我尝试从 html 表单发布信息时,我收到 Invalid CSRF token 错误。按照错误中给出的建议,我将 'x-csrf-token': csrf_token 添加到操作中。

编辑.html.eex:

<h2>Edit Directory</h2>
<form class="form-horizontal" action="<%= directory_path @conn, :update, @directory.id, 'x-csrf-token': @csrf_token %>" method="post">
  <div class="form-group">
    <label for="directory" class="col-sm-2 control-label">Directory</label>
    <div class="col-sm-10">
      <input type="hidden" name="_method" value="PATCH">
      <input type="text" class="form-control" value="<%= @directory.directory %>" name="directory" placeholder="Directory" required="required">
    </div>
  </div>
...

但我收到以下错误:

[error] #PID<0.579.0> running Ainur.Endpoint terminated
Server: localhost:4000 (http)
Request: POST /config/directories/2?x-csrf-token=
** (exit) an exception was raised:
    ** (Plug.CSRFProtection.InvalidCSRFTokenError) Invalid CSRF (Cross Site Forgery Protection) token. Make sure that all your non-HEAD and non-GET requests include the csrf_token as part of form params or as a value in your request's headers with the key 'x-csrf-token'
        (plug) lib/plug/csrf_protection.ex:54: Plug.CSRFProtection.call/2
        (ainur) web/router.ex:4: Ainur.Router.browser/2
        (ainur) lib/phoenix/router.ex:2: Ainur.Router.call/2
        (plug) lib/plug/debugger.ex:104: Plug.Debugger.wrap/3
        (phoenix) lib/phoenix/endpoint/error_handler.ex:43: Phoenix.Endpoint.ErrorHandler.wrap/3
        (ainur) lib/ainur/endpoint.ex:1: Ainur.Endpoint.phoenix_endpoint_pipeline/2
        (plug) lib/plug/debugger.ex:104: Plug.Debugger.wrap/3
        (phoenix) lib/phoenix/endpoint/error_handler.ex:43: Phoenix.Endpoint.ErrorHandler.wrap/3

据我所知(刚接触 Elixir、Phoenix 和 HTML),“动作”本质上是一条路径,我在其中放置的任何参数都会找到返回应用程序的方式。而且,确实,我发现 x-csrf-token = "" 被传回路由器,所以 @csrf_token 一定不正确。我不确定 csrf_token 的确切来源,所以我不知道如何引用它(或者我这样做完全错误)。

任何想法将不胜感激。

4

6 回答 6

21

在 Phoenix 0.13 版上,你可以做

<input type="hidden" name="_csrf_token" value="<%= get_csrf_token() %>">

因为在文件web/web.ex中有此功能的导入。

于 2015-05-12T19:01:21.413 回答
9

作为 v0.10.0 以来可用的另一个解决方案,您可以让 Phoenix 为您注入 CSRF 输入。

升级指南中的示例

<%= form_tag("/hello", method: :post) %>
... your form stuff. input with csrf value is created for you.
</form>

这将输出表单标签和一些输入标签,包括_csrf_token一个。结果将如下所示:

<form accept-charset="UTF-8" action="/hello" method="post">
    <input name="_csrf_token" value="[automatically-inserted token]" type="hidden">
    <input name="_utf8" value="✓" type="hidden">
</form>

form_tagdocs : “对于‘发布’请求,表单标签将自动包含一个名为 _csrf_token 的输入标签。”

于 2015-08-02T04:25:03.313 回答
4

要查看安装的版本,请运行

cat ./deps/phoenix/mix.exs | grep version

这显示了您在 deps 目录中拥有的凤凰。

此外,如果/当您升级到 phoenix 0.9.0 时,情况发生了变化(由于 Plug.CSRFProtection 的更新),CSRF 使用 cookie 而不是会话的工作方式不同。

来自凤凰城 v0.9.0 更新日志 (2015-02-12)

[Plug] Plug.CSRFProtection 现在使用 cookie 而不是会话,并且需要一个“_csrf_token”参数而不是“csrf_token”

要访问令牌的值,请从 cookie 中获取 if,它在服务器端看起来像

Map.get(@conn.req_cookies, "_csrf_token")

所以对于你的代码,看起来像

<h2>Edit Directory</h2>
<form class="form-horizontal" action="<%= directory_path @conn, :update, @directory.id, 'x-csrf-token': Map.get(@conn.req_cookies, "_csrf_token") %>" method="post">
  <div class="form-group">
    <label for="directory" class="col-sm-2 control-label">Directory</label>
    <div class="col-sm-10">
      <input type="hidden" name="_method" value="PATCH">
      <input type="text" class="form-control" value="<%= @directory.directory %>" name="directory" placeholder="Directory" required="required">
    </div>
  </div>

现在,为了完整起见,我需要更新的 CSRF 来处理纯客户端构建的请求,所以这就是我如何使用 JQuery cookie 在 javascript 中访问 c​​ookie 以便于访问。您应该能够通过运行以下命令在浏览器中看到该值

$.cookie("_csrf_token")

这可能会返回类似

"K9UDa23e1sacdadfmvu zzOD9VBHTSr1c/lcvWY="

请注意,在上面,phoenix 中的空格被 url 编码为 +,这仍然导致 CSRF 失败。现在是 Plug 中的错误,或者只是要处理的东西,我不确定,所以现在我只是明确地处理 +

$.cookie("_csrf_token").replace(/\s/g, '+');

通过访问 CSRF 令牌,我们现在只需将 x-csrf-token 添加到您的请求标头(谢谢 ilake)。这是使它与 ajax 调用一起工作的代码(相应地填写 url 和数据和响应)。

$.ajax({ 
  url: 'YOUR URL HERE',
  type: 'POST',
  beforeSend: function(xhr) {
    xhr.setRequestHeader('x-csrf-token', $.cookie("_csrf_token").replace(/\s/g, '+'))
  },
  data: 'someData=' + someData,
  success: function(response) {
    $('#someDiv').html(response);
  }
});

请注意,您也可以将 _csrf_token 作为参数发回,但我更喜欢上面的,而且对我来说感觉更干净。

最后一点,我没有足够的声誉点来正确发布指向 jquery cookie 的链接,但它应该很容易用谷歌搜索。

于 2015-02-22T19:45:31.803 回答
2

我在http://phoenix.thefirehoseproject.com上找到了答案。您必须创建一个函数来获取 csrf 令牌:

网络/view.ex

def csrf_token(conn) do
  Plug.Conn.get_session(conn, :csrf_token)
end

然后在模板中检索它:

网页/模板/目录/edit.html.eex

<form class="form-horizontal" action="<%= directory_path @conn, :update, @directory.id %>" method="post">
   <input type="hidden" name="csrf_token" value="<%= csrf_token(@conn) %>">

就是这样!

于 2015-02-20T08:12:11.900 回答
1

我的解决方案是:

  • 导入Phoenix.Controller.get_csrf_token:0MyModule.view:0(在 apps/my_app_web/lib/my_app_web.ex 下):

    import Phoenix.Controller, only: [get_csrf_token: 0, get_flash: 2, view_module: 1]

  • 在我的表单中添加一个隐藏的参数:

    <input type="hidden" name="_csrf_token" value="<%= get_csrf_token() %>" />

于 2018-09-17T10:56:20.863 回答
0

就我而言,这是plug :scrub_params导致问题的线路。评论该行后,它起作用了。但是需要确保修复它,因为如果没有scrub_params,应用程序将是不安全的。

于 2015-11-29T07:35:17.533 回答