我有一个可工作的 Rails5.2 应用程序,它需要重组数据库以改进某些表的组织。自此更改以来,我发现我的某些表单在本地计算机上始终失败并出现以下错误:
ActionController::InvalidAuthenticityToken in PayBandsController#create
当然,作为重构的一部分,我不得不在应用程序中进行很多更改,但测试都通过了。
我可以通过skip_before_action :verify_authenticity_token在相关控制器上进行设置(根据以前的 SO 线程)来避免这个问题,但这当然不是一个好的解决方法。我想知道根本原因是什么并消除它。
- 表单在其自己的页面上时有效,并放置
render在 HTML 中。 - 当我设置
skip_before_action. - 否则表单将失败并出现 AuthenticityToken 错误 - 即使之前使用相同的结构。
这一切都在我的本地机器上通过有效会话进行了测试。
该表单是在服务对象中创建的,作为数据表的最后一行(以便我可以向表中添加新行)。这是问题的潜在原因 - 它是在服务对象中而不是在 ERB 中呈现的?虽然这种方法在重构之前运行良好......
_table_data += ApplicationController.render(partial: 'datasets/pay_band_numbers_form', locals:{ _dataset_id: _dataset.id, _namespace: _key })
部分如下,正如我所说,如果将其单独放置在页面上(例如 pay_bands/new),但不是放置在需要的位置(在数据集/编辑上):
<%= form_for (PayBand.new), namespace: _namespace do |f| %>
<%= f.hidden_field :dataset_id, :value => _dataset_id %>
<%= f.text_field :label, :tabindex => 11, :required => true %>
<%= f.number_field :number_women, :tabindex => 12, :required => true %>
<%= f.number_field :number_men, :tabindex => 13, :required => true %>
<%= f.submit "✔".html_safe, :tabindex => 14, class: "button green-button checkmark" %>
<% end %>
涉及的模型有Dataset和PayBand,定义如下。
class Dataset < ApplicationRecord
belongs_to :organisation
has_many :pay_bands, inverse_of: :dataset, dependent: :destroy
accepts_nested_attributes_for :pay_bands
default_scope -> { order(created_at: :desc) }
validates :name, presence: true
validates :organisation_id, presence: true
end
class PayBand < ApplicationRecord
belongs_to :dataset
has_many :ages_salaries_genders, inverse_of: :pay_band, dependent: :destroy
validates :dataset_id, presence: true
validates :label, presence: true
end
数据集控制器的相关部分是:
class DatasetsController < ApplicationController
protect_from_forgery with: :exception
load_and_authorize_resource
before_action :authenticate_user!
.
.
.
def edit
@dataset = Dataset.find(params[:id])
end
def update
@dataset = Dataset.find(params[:id])
if @dataset.update_attributes(dataset_params) && dataset_params[:name]
flash[:notice] = "Survey updated"
redirect_back fallback_location: dataset_path(@dataset)
else
flash[:alert] = "Attempted update failed"
redirect_to edit_dataset_path(@dataset)
end
end
.
.
.
private
def dataset_params
params.require(:dataset).permit(:name)
end
end
支付带控制器是:
class PayBandsController < ApplicationController
protect_from_forgery with: :exception
# skip_before_action :verify_authenticity_token #DANGEROUS!!!!!
load_and_authorize_resource
before_action :authenticate_user!
def create
@pay_band = PayBand.new(pay_band_params)
if @pay_band.save
flash[:notice] = "Data saved!"
redirect_to edit_dataset_path(Dataset.find(@pay_band.dataset_id))
else
flash[:alert] = "There was an error. Your data was not saved."
redirect_back fallback_location: edit_dataset_path(Dataset.find(pay_band_params[:dataset_id]))
end
end
private
def pay_band_params
params.require(:pay_band).permit(:label, :number_women, :number_men, :avg_salary_women, :avg_salary_men, :dataset_id)
end
end
在我摆弄数据模型之前,上述所有控制器结构都与应用程序的工作版本相同!
===
编辑
经过更多研究后,我决定检查标题,看看是否可以看到令牌值。但是,meta csrf-token标头标记中的标记值与此页面上 3 种不同形式的 3 种不同标记中的任何一个都不匹配。但是一个仍然有效(render在 ERB 模板中编辑的简单表单),而另外两个不工作(render在服务对象中编辑的那个)。这一切都让我和以前一样困惑!
另外,我尝试从我的 GemFile 和 application.js 文件中删除 Turbolinks,重新运行bundleand rails s,但没有任何区别。