问题标签 [authenticity-token]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
8 回答
38522 浏览

javascript - 使用 AJAX 向 Rails 发送 Authenticity Token 的正确方法

这可行,但由于缺少真实性令牌而停止:

所以我尝试像这样添加它:

它正确地将 auth_token 作为参数传递,但似乎丢失了我的其余表单。

无论如何要完成发送有效的表单数据和真实性令牌?

这是一个 Rails 环境。我脑子里有这个。

我尝试过的事情

1.

2.

3.

0 投票
1 回答
501 浏览

jquery - Internet Explorer 导致 Invalid Authenticity Token 错误

这适用于除 IE7 和 IE8(可能还有 IE6)之外的所有浏览器。

出于某种原因,它不会尊重我的真实性令牌。

任何想法,调试技巧,解决方法?

我的标准设置:

我的 AJAX 调用:

0 投票
2 回答
1450 浏览

ruby-on-rails - 使用真实性令牌?还是禁用它?

我的迷你网络设备会将数据样本提交到 RoR 应用程序,该应用程序会将它们添加到 MySQL 表中。

我想出了如何形成 POST 数据包,但我没有得到的是如何避免真实性令牌问题。

有没有办法让我的小笨蛋获取正确的令牌并将其发回?(我猜不是,否则它不会是一个安全功能)。

这不是一个高度安全敏感的应用程序,所以我应该告诉这个页面完全忽略 authentity-token 吗?

它有望通过每个客户端(Web 设备)使用唯一的用户 ID 和密码登录这一事实进行身份验证,因此它将受到会话 ID 的保护。

如果我使用“松散”的语言,请随时纠正我。我是部署站点的新手。

凯布

0 投票
2 回答
1152 浏览

jquery - Rails 3.1 真实性令牌 + 上传

我正在尝试将 Uploadify 与我的 Rails 3.1 应用程序一起使用,我已经完成了所有步骤(中间件、初始化程序、配置...等),我认为它们都运行良好,但一方面,我的真实性令牌是“评估”在过程中的某处,然后(+)加号变成空格!..我原来的令牌是

而我在控制台上看到的是

这当然会导致“无法验证真实性令牌”错误,然后请求被重定向到其他地方。

有什么想法吗?谢谢你。

0 投票
1 回答
348 浏览

iphone - 如何处理 iPhone 对 Ruby on Rails 后端的请求?

我们正在为我们的 ruby​​ on rails 网站创建移动支持,但遇到了处理真实性令牌的问题。

正如之前的文章所提到的,真实性令牌是在创建表单时在 Rails 服务器上创建的,然后放置在表单页面上以防止篡改。

了解 Rails 真实性令牌

现在我们可以通过禁用 csrfprotect_from_forgery 来处理来自手机的请求

我的问题是保护外部移动发布接口到我们的 ruby​​ on rails 实例的最佳方法是什么?

0 投票
1 回答
820 浏览

ruby-on-rails - Rails form_authenticity_token 在 POST 请求后没有重新生成

我的印象是 Rails 会form_authenticity_token在任何 POST、PUT 或 DELETE 操作之后重新生成。但由于某种原因,在成功 POST 到用户资源后form_authenticity_token不会重新生成。我可以随意使用相同的 CSRF 令牌一遍又一遍地发布任意次数。

我有一个命名空间 API,我正在使用 RABL gem 来构建我的响应。这就是我设置所有内容的方式...

帖子运行良好,development.log 或控制台$ rails s日志中没有错误或警告。

我已经verified_request?create方法内部进行了检查,它返回了 true。我已经删除了渲染并create.json.rabl使用与视图相同的代码设置了一个show.json.rabl视图......没有骰子。

我正在运行带有 Ruby 1.9.2p290 和 cookie 会话存储的 Rails 3.1.3。

真实性令牌正在通过请求标头(X-CSRF-Token)发送

0 投票
1 回答
883 浏览

android - Rails + Android 中的 Authenticity_token

我正在开发一个与 Rails 服务器通信的 Android 应用程序。我不想忽略authenticity_token,但我也不认为要求它是正确的答案。可以做些什么来保护我的 POST 请求?

0 投票
1 回答
241 浏览

iphone - 来自 iPhone 的 Rails 后端的 POST 请求

我想从我的 iPhone 应用程序向我的 rails 后端执行 POST 请求。但是,我无权访问真实性令牌,这使我无法执行此操作。我正在浏览互联网上的一些资源,并找到了这些幻灯片

在第 19 页,作者说这个问题可以通过禁用真实性令牌或使用基于 db 的会话来解决。

按照关于这个问题的说明,我已经将我的 rails 应用程序设置为使用基于 db 的会话。但我不明白如何用这种技术绕过真实性令牌。谁能给我解释一下?

谢谢

0 投票
1 回答
847 浏览

ruby-on-rails - Rails 使用 curl 设计登录

我正在尝试使用curl以下方式登录以进行设计:

rails 服务器日志显示:

是否可以获取 CSRF 令牌真实性并将其传递给 sign_in 请求以使用设计成功登录?

0 投票
0 回答
304 浏览

ruby-on-rails - 嵌套属性不显示 attr_accessible

我有一个嵌套属性 message.rb

属于trip.rb

消息控制器.rb

消息形式在 \trips\show.html.erb

它也应该出现在那里 \trips\show.html.erb

问题是它只是没有。

我的 Development.log。

, "id"=>"44"} [1m[35mTrip Load (0.0ms)[0m SELECT "trips".* FROM "trips" WHERE "trips"."id" = ? LIMIT 1 [["id", "44"]] [1m[36mCategory Load (0.0ms)[0m [1mSELECT "categories".* FROM "categories" INNER JOIN "categories_trips" ON "categories"."id" = " categories_trips"."category_id" WHERE "categories_trips"."trip_id" = 44[0m [1m[35mLocation Load (0.0ms)[0m SELECT "locations".* FROM "locations" WHERE> "locations"."id" = 18限制 1 [1m[36mCACHE (0.0ms)[0m [1mSELECT "trips".* FROM "trips" WHERE "trips"."id" = ? 限制 1[0m [1m[35m图像加载(1.0ms)[0m 选择“图像”。

我真的不明白为什么,我确实设置了 attr_accessible。你能帮我吗 ?谢谢你!

更新

通过rails控制台它可以工作:

irb(main):019:0> first_trip.messages.create(name: "emils2") ←[1m←[35mSQL (2.0ms)←[0m INSERT INTO "messages" ("body", "created_at", "email ", "name", "subject", "trip_id", "updated_at") 值 (?, ?, ?, ?, ?, ?, ?) [["body", nil], ["created_at", Wed, 2012 年 8 月 1 日 13:52:29 UTC +00:00], ["email", nil ], ["name", "emils2"], ["subject", nil], ["trip_id", 32], [ “updated_at”,2012 年 8 月 1 日星期三 13:52:29 UTC +00:00]]

32,created_at:“2012-08-01 13:52:29”,updated_at:“2012-08-01 13:52:29”>

我的 routes.rb 也嵌套了: