问题标签 [authenticity-token]

这可行，但由于缺少真实性令牌而停止：

所以我尝试像这样添加它：

它正确地将 auth_token 作为参数传递，但似乎丢失了我的其余表单。

无论如何要完成发送有效的表单数据和真实性令牌？

这是一个 Rails 环境。我脑子里有这个。

我尝试过的事情

1.

2.

3.

这适用于除 IE7 和 IE8（可能还有 IE6）之外的所有浏览器。

出于某种原因，它不会尊重我的真实性令牌。

任何想法，调试技巧，解决方法？

我的标准设置：

我的 AJAX 调用：

我的迷你网络设备会将数据样本提交到 RoR 应用程序，该应用程序会将它们添加到 MySQL 表中。

我想出了如何形成 POST 数据包，但我没有得到的是如何避免真实性令牌问题。

有没有办法让我的小笨蛋获取正确的令牌并将其发回？（我猜不是，否则它不会是一个安全功能）。

这不是一个高度安全敏感的应用程序，所以我应该告诉这个页面完全忽略 authentity-token 吗？

它有望通过每个客户端（Web 设备）使用唯一的用户 ID 和密码登录这一事实进行身份验证，因此它将受到会话 ID 的保护。

如果我使用“松散”的语言，请随时纠正我。我是部署站点的新手。

凯布

我正在尝试将 Uploadify 与我的 Rails 3.1 应用程序一起使用，我已经完成了所有步骤（中间件、初始化程序、配置...等），我认为它们都运行良好，但一方面，我的真实性令牌是“评估”在过程中的某处，然后（+）加号变成空格！..我原来的令牌是

而我在控制台上看到的是

这当然会导致“无法验证真实性令牌”错误，然后请求被重定向到其他地方。

有什么想法吗？谢谢你。

我们正在为我们的 ruby​​ on rails 网站创建移动支持，但遇到了处理真实性令牌的问题。

正如之前的文章所提到的，真实性令牌是在创建表单时在 Rails 服务器上创建的，然后放置在表单页面上以防止篡改。

了解 Rails 真实性令牌

现在我们可以通过禁用 csrfprotect_from_forgery 来处理来自手机的请求

我的问题是保护外部移动发布接口到我们的 ruby​​ on rails 实例的最佳方法是什么？

我的印象是 Rails 会form_authenticity_token在任何 POST、PUT 或 DELETE 操作之后重新生成。但由于某种原因，在成功 POST 到用户资源后form_authenticity_token不会重新生成。我可以随意使用相同的 CSRF 令牌一遍又一遍地发布任意次数。

我有一个命名空间 API，我正在使用 RABL gem 来构建我的响应。这就是我设置所有内容的方式...

帖子运行良好，development.log 或控制台$ rails s日志中没有错误或警告。

我已经verified_request?从create方法内部进行了检查，它返回了 true。我已经删除了渲染并create.json.rabl使用与视图相同的代码设置了一个show.json.rabl视图......没有骰子。

我正在运行带有 Ruby 1.9.2p290 和 cookie 会话存储的 Rails 3.1.3。

真实性令牌正在通过请求标头（X-CSRF-Token）发送

我正在开发一个与 Rails 服务器通信的 Android 应用程序。我不想忽略authenticity_token，但我也不认为要求它是正确的答案。可以做些什么来保护我的 POST 请求？

我想从我的 iPhone 应用程序向我的 rails 后端执行 POST 请求。但是，我无权访问真实性令牌，这使我无法执行此操作。我正在浏览互联网上的一些资源，并找到了这些幻灯片。

在第 19 页，作者说这个问题可以通过禁用真实性令牌或使用基于 db 的会话来解决。

按照关于这个问题的说明，我已经将我的 rails 应用程序设置为使用基于 db 的会话。但我不明白如何用这种技术绕过真实性令牌。谁能给我解释一下？

谢谢

我正在尝试使用curl以下方式登录以进行设计：

rails 服务器日志显示：

是否可以获取 CSRF 令牌真实性并将其传递给 sign_in 请求以使用设计成功登录？

我有一个嵌套属性 message.rb

属于trip.rb

消息控制器.rb

消息形式在 \trips\show.html.erb

它也应该出现在那里 \trips\show.html.erb

问题是它只是没有。

我的 Development.log。

, "id"=>"44"} [1m[35mTrip Load (0.0ms)[0m SELECT "trips".* FROM "trips" WHERE "trips"."id" = ? LIMIT 1 [["id", "44"]] [1m[36mCategory Load (0.0ms)[0m [1mSELECT "categories".* FROM "categories" INNER JOIN "categories_trips" ON "categories"."id" = " categories_trips"."category_id" WHERE "categories_trips"."trip_id" = 44[0m [1m[35mLocation Load (0.0ms)[0m SELECT "locations".* FROM "locations" WHERE> "locations"."id" = 18限制 1 [1m[36mCACHE (0.0ms)[0m [1mSELECT "trips".* FROM "trips" WHERE "trips"."id" = ? 限制 1[0m [1m[35m图像加载（1.0ms）[0m 选择“图像”。

我真的不明白为什么，我确实设置了 attr_accessible。你能帮我吗 ？谢谢你！

更新

通过rails控制台它可以工作：

irb(main):019:0> first_trip.messages.create(name: "emils2") ←[1m←[35mSQL (2.0ms)←[0m INSERT INTO "messages" ("body", "created_at", "email ", "name", "subject", "trip_id", "updated_at") 值 (?, ?, ?, ?, ?, ?, ?) [["body", nil], ["created_at", Wed, 2012 年 8 月 1 日 13:52:29 UTC +00:00], ["email", nil ], ["name", "emils2"], ["subject", nil], ["trip_id", 32], [ “updated_at”，2012 年 8 月 1 日星期三 13:52:29 UTC +00:00]]

32，created_at：“2012-08-01 13:52:29”，updated_at：“2012-08-01 13:52:29”>

我的 routes.rb 也嵌套了：