42

这可行,但由于缺少真实性令牌而停止:

$(".ajax-referral").click(function(){
  $.ajax({type: "POST", url: $(this).parent("form").attr("action"), dataType: "script"});
  return false;
});

所以我尝试像这样添加它:

$(".ajax-referral").click(function(){
  $.ajax({type: "POST", url: $(this).parent("form").attr("action") + "?&authenticity_token=" + AUTH_TOKEN, dataType: "script"});
  return false;
});

它正确地将 auth_token 作为参数传递,但似乎丢失了我的其余表单。

无论如何要完成发送有效的表单数据和真实性令牌?

这是一个 Rails 环境。我脑子里有这个。

= javascript_tag "var AUTH_TOKEN = '#{form_authenticity_token}';" if protect_against_forgery?

我尝试过的事情

1.

= hidden_field :authenticity_token, :value => form_authenticity_token

2.

$.ajax({type: "POST", url: $(this).parent("form").attr("action"), dataType: "script", authenticity_token: AUTH_TOKEN});

3.

// Always send the authenticity_token with ajax
$(document).ajaxSend(function(event, request, settings) {
    if ( settings.type != 'GET' ) {
        settings.data = (settings.data ? settings.data + "&" : "")
            + "authenticity_token=" + encodeURIComponent( AUTH_TOKEN );
    }
});
4

8 回答 8

33

实际上,您正在读取action表单的属性并向其发送后 ajax 请求。要发送表单数据,您必须提交表单,或者您可以序列化表单数据并在 ajax 请求中发送,例如

$(".ajax-referral").click(function(){
  $.ajax({
      type: "POST", 
      url: $(this).parent("form").attr("action") + "?&authenticity_token=" + AUTH_TOKEN, 
      data:$(this).parent("form").serialize(),
      dataType: "script"
      });
  return false;
});

这样做将序列化您的表单数据并将其与 ajax 请求一起发送,并且真实性令牌已经通过查询字符串发送

于 2011-09-27T12:40:28.397 回答
33

如果您在顶部有以下 ERB,则默认情况下,此标记也已出现在 application.html.erb 布局文件头部的“元”标签之一中:

<%= csrf_meta_tag %>

该 ERB 大致呈现为:

<meta content="abc123blahblahauthenticitytoken" name="csrf-token">

然后,您可以使用带有以下代码的 jQuery 抓取它:

var AUTH_TOKEN = $('meta[name=csrf-token]').attr('content');
于 2013-11-17T23:21:37.757 回答
30

X-CSRF-Token在我通过 JS 在请求标头上设置值之前,这些都不适合我,如下所示:

request.setRequestHeader('X-CSRF-Token', token)

token当然,作为 CSRF 代币。我从<meta name="csrf-token">标签中得到这个并没有使用encodeURIComponent()

更新,因为这被证明对某些人有用

总而言之:

var token = document.querySelector('meta[name="csrf-token"]').content
request.setRequestHeader('X-CSRF-Token', token)
于 2015-03-16T20:52:51.120 回答
15

谢谢!

只是为了澄清更常见的用途。

您需要在您的脑海中带有 var AUTH_TOKEN 的 js 标记。应该是这样的。

<%= csrf_meta_tag %>
<%= javascript_tag "var AUTH_TOKEN = '#{form_authenticity_token}';" if protect_against_forgery? %>

然后,如果您不需要使用 parent(form) 或类似的东西,只需将您的authentity_token=AUTH_TOKEN 放入 ajax 数据中。

$.ajax({
  type: 'post',
  dataType:'text',
  data: "user_id="+user_id+"&authenticity_token="+AUTH_TOKEN,
  url:'/follow/unfollow'
})

感谢楼上的小伙伴们分享这方面的知识!

于 2013-01-03T09:26:42.383 回答
7

Rails在 Rails 5.1+ 中,如果您对 AJAX 请求(来自)使用内置的 JS 助手,则会自动附加一个 CSRF 令牌rails-ujs,例如:

Rails.ajax({
  url: "/your/url",
  type: "POST",
  data: "a=1&b=2",
  success: function(data) {
    console.log(data);
  }
});

如果您需要,该库还为您提供了手动获取 CSRF 令牌的助手:

Rails.csrfToken();
于 2019-04-13T17:51:15.283 回答
3

您可以在表单本身中包含 AUTH_TOKEN 作为隐藏输入。

<input type="hidden" name="AUTH_TOKEN">1234abcd</input>
于 2011-09-26T20:22:28.943 回答
3

我刚刚遇到了这个问题,但我在我的 application.js 文件中尝试了这种方法:

$(document).ajaxSend(function(e, xhr, options) {
  if (options.data == null) {
    options.data = {};
  }
  options.data['authenticity_token'] = token;
});

这是我得到这个想法的原始问题:ajaxSend Question

于 2013-05-10T03:20:57.063 回答
0

简单地使用 form_tag 会自动包含 CSRF 令牌参数。Rails 支持“Unobtrusive Javascript”,这意味着表单仍将通过 AJAX 提交。控制器动作支持“respond_to”块,您可以使用 .js.erb 扩展名在网页上进行更改以响应表单提交。

于 2017-06-08T21:25:38.137 回答