Wie pass entlang CSRF-token in einer AJAX-post-request für eine form?

Ich bin mit Scala Play! 2.6 Framework, aber das kann nicht das Problem sein. Ich bin mit Ihrer Javascript-routing - und es scheint zu funktionieren ok, aber es ' s Probleme. Ich habe ein Formular, welches beim Rendern erzeugt diese, mit einem CSRF-token:

<form method="post" id="myForm" action="someURL">

<input name="csrfToken" value="5965f0d244b7d32b334eff840...etc" type="hidden">
  <input type="text" id="sometext">
  <button type="submit"> Submit! </button>

</form>

- Und hier ist in etwa, meine AJAX:

$(document).on('submit', '#myForm', function (event) {

 event.preventDefault();
   var data = {
    textvalue: $('#sometext').val()
   }
 var route = jsRoutes.controllers.DashboardController.postNewProject()
 $.ajax({
    url: route.url,
    type: route.type,
    data : JSON.stringify(data),
    contentType : 'application/json',
    success: function (data) { ...      },
    error: function (data) { ...  }
        })

});

Aber wenn ich diesen post, ich bin immer eine UNBERECHTIGTE Antwort von meinem Server, und meine Konsole in IntelliJ sagt mir das CSRF check fehlschlägt. Wie würde ich den pass entlang der CSRF-token in der Anfrage?

hast du jemals das gelöst?
Nicht wirklich, aber jetzt drehte ich den CSRF check... NICHT
vielleicht ist diese Frage von mir, kann helfen oder Hilfe leisten -> stackoverflow.com/questions/45017920/...
Vielen Dank - ich hatte gewesen habend, die Problem - und die form, die ich oben gepostet folgt eine ähnliche Methode durch hinzufügen @CSRF.formField (ich habe nur gezeigt, dass es nach dem Rendern, wie es an den client gesendet wird). Mein Problem jetzt ist aber, dass es nicht senden oder prüfen für Sie, wenn ich POST über einen AJAX-request.
Ich habe es geschafft, es zu beheben, können Sie kommen, über dieses Problem später, wenn Sie versuchen, nach etwas mit AJAX - siehe meine Antwort unten.

InformationsquelleAutor NateH06 | 2017-08-02

  1. 12

    Ok, nachdem du diese für ein paar Stunden und versuchen zu entschlüsseln, Spielen Häufig-fehlt-Kontext-Dokumentation auf der Thema, ich habe es.

    So, von Ihren docs:

    Ermöglichen einfachen Schutz für nicht-browser-Anforderungen, Spielen Sie nur prüft
    Anfragen mit cookies in den header. Wenn Sie Anfragen mit
    AJAX, können Sie das CSRF-token in der HTML-Seite und fügen Sie es anschließend
    auf die Anforderung mit der Csrf-Token header.

    Und dann gibt es keinen code oder Beispiel. Dank Spielen. Sehr beschreibend. Wie auch immer, hier ist, wie:

    in Ihrem view.html.formTemplate Sie schreiben in IntelliJ:

    @()
<form method="post" id="myForm" action="someURL">

@helper.CSRF.formField  <!-- This auto-generates a token for you -->
  <input type="text" id="sometext">
  <button type="submit"> Submit! </button>

</form>

    Und dadurch wird dargestellt, wie diese bei der Auslieferung an den Kunden:

    <form method="post" id="myForm" action="someURL">

<input name="csrfToken" value="5965f0d244b7d32b334eff840...etc" type="hidden">
  <input type="text" id="sometext">
  <button type="submit"> Submit! </button>

</form>

    Ok, es fast geschafft, jetzt müssen wir es schaffen, unsere AJAX-call. Ich habe alle von mir in einem separaten main.js Datei, aber Sie können auch setzen Sie diese in Ihre view.html.formTemplate wenn Sie wollen.

    $(document).on('submit', '#myForm', function (event) {

 event.preventDefault();
   var data = {
    myTextToPass: $('#sometext').val()
   }
 //LOOK AT ME! BETWEEN HERE AND
 var token =  $('input[name="csrfToken"]').attr('value')
    $.ajaxSetup({
        beforeSend: function(xhr) {
            xhr.setRequestHeader('Csrf-Token', token);
        }
    });
//HERE
 var route = jsRoutes.controllers.DashboardController.postNewProject()
 $.ajax({
    url: route.url,
    type: route.type,
    data : JSON.stringify(data),
    contentType : 'application/json',
    success: function (data) { ...      },
    error: function (data) { ...  }
        })

});

    Mit dieser Zeile:
    var token = $('input[name="csrfToken"]').attr('value')
    Sie zupfen sich das CSRF-token automatisch generierte im Formular-Feld und packte Ihren Wert in eine var zu Ihr Javascript.

    Andere wichtige Stück von allem, was AJAX ist hier:

    $.ajaxSetup({
            beforeSend: function(xhr) {
                xhr.setRequestHeader('Csrf-Token', token);
            }
        });

    Mithilfe der $.ajaxSetup können Sie festlegen, was in der Kopfzeile. Dies ist, was Sie haben, zu folgern aus Ihrer Dokumentation:

    hinzufügen, um die Anfrage über das Csrf-Token-header.

    Glück! Lassen Sie mich wissen, wenn das ist klar.

    Hinweis: bei der Verwendung von lusca, verwenden Sie X-CSRF-Token statt Csrf-Token.

    das nennt man eine Erklärung und eine Antwort, wow!
    Danke! Ich ziemlich viel geschrieben, dass es Weg ist, weil ich weiß, dass ich brauchen würde, um eines Tages Referenz es wieder selbst.
    Ihre Antwort ist ernsthaft anderen helfen, eine Menge! 🙂
    Was, wenn Sie nicht verwenden Sie "<form method="post" id="myForm" action="someURL">" und "@Helfer.CSRF-Angriffe.formField", sondern mit "@CSRF(route.Etwas.etwas(von etwas))", wo "etwas" ist eine javascript variable, die geparsed werden soll, in "@CSRF(route.Etwas.etwas(von etwas))"? Ist das überhaupt möglich?
    Wenn Sie versuchen, roll your own token mithilfe von JS, ich möchte vermeiden, mit Ihren @CSRF Helfer Aufruf an alle, ich bin mir nicht sicher, ob es die Parameter benötigt. Generieren Sie die HTML-Datei auf Ihren eigenen und den Wert einfügen, wie Sie sehen, passen. <input name="yourCsrfToken" value="route.Something(something) etc" type="hidden"> und ändern Sie dann die oben var: var token = $('input[name="yourCsrfToken"]').attr('value')

    InformationsquelleAutor NateH06

  2. 2

    fügen Sie es auf die Anforderung mit der Csrf-Token header.

    Dank NateH06 für den header-Namen! Ich war versucht zu senden csrf-token für ein "löschen" - Taste, mit einer ajax-Funktion aufrufen, und ich saß auf den folgenden:

    @import helper._
....
<button id="deleteBookBtn" class="btn btn-danger"
        data-csrf-name="@helper.CSRF.getToken.name"
        data-csrf-value="@helper.CSRF.getToken.value"
        data-delete-url="@routes.BooksController.destroy(book.id)"
        data-redirect-url="@routes.HomeController.index()">Delete</button>

    War ich nicht in der Lage, die online-js innerhalb der onclick() Veranstaltung wegen eines CSP-set auf 2.6 spielen zu.

    Verweigert das ausführen von inline-event-handler, da Sie gegen die folgende Content-Security-Policy Richtlinie: "default-src 'self'".

    Und auf die JS-Datei:

    function sendDeleteRequest(event) {
  url = event.target.getAttribute("data-delete-url")
  redirect = event.target.getAttribute("data-redirect-url")
  csrfTokenName = event.target.getAttribute("data-csrf-name")
  csrfTokenValue = event.target.getAttribute("data-csrf-value")
  $.ajax({
    url: url,
    method: "DELETE",
    beforeSend: function(request) {
      //'Csrf-Token' is the expected header name, not $csrfTokenName
      request.setRequestHeader(/*$csrfTokenName*/'Csrf-Token', csrfTokenValue);
    },
    success: function() {
      window.location = redirect;
    },
    error: function() {
      window.location.reload();
    }
  })
}

var deleteBookBtn = document.getElementById("deleteBookBtn");
if(deleteBookBtn) {
    deleteBookBtn.addEventListener("click", sendDeleteRequest);
}

    Nachdem Sie den header-Namen als 'Csrf-Token' den ajax-call funktioniert perfekt!

    InformationsquelleAutor inieto

  3. 1

    Vom JSP 

    <form method="post" id="myForm" action="someURL">
    <input name="csrfToken" value="5965f0d244b7d32b334eff840...etc" type="hidden">    
</form>

    Dies ist der einfachste Weg, arbeitete für mich nach kämpfen für 3 Stunden, nur um die token von der input-hidden-Feld, wie dies und während der AJAX-request nur übergeben müssen dieses token im header wie folgt:-

    Von JQuery

    var token =  $('input[name="csrfToken"]').attr('value');

    Von plain Javascript

    var token = document.getElementsByName("csrfToken").value;

    Letzte AJAX-Request 

    $.ajax({
      url: route.url,
      data : JSON.stringify(data),
      method : 'POST',
      headers: {
                    'X-CSRF-Token': token 
               },
      success: function (data) { ...      },
      error: function (data) { ...  }

    });

    Jetzt brauchen Sie nicht zu deaktivieren crsf Sicherheit in der web-config, und auch dies wird nicht geben Sie 405( Methode Nicht Erlaubt) Fehler auf der Konsole.

    Hoffen, dies wird den Menschen helfen..!!

    Diese funktionierte für mich... Danke 🙂

    InformationsquelleAutor MOnkey

  4. 0

    Können Sie hinzufügen Csrf-Token header mit headers option.

    $.ajax({
    url: '@routes.MyController.myPostAction()',
    method: 'post',
    headers: {
        'Csrf-Token': '@play.filters.csrf.CSRF.getToken.map(_.value)'
    },
    data: {
        name: '@name'
    },
    success: function (data, textStatus, jqXHR) {
        location.reload();
    },
    error: function (jqXHR, textStatus, errorThrown) {
        debugger;
    }
});

    InformationsquelleAutor Aha00a

  5. 0

    Wie gesagt in der Play Framework 2.6-Dokumentation, Sie können einen ' Csrf-Token " - Header mit dem token generiert Spielen:

    Wenn Sie Anfragen mit AJAX, können Sie das CSRF-token in der HTML-Seite, und fügen Sie es auf die Anforderung mit der Csrf-Token header.

    Innerhalb eines Scala-Vorlage, die Sie bekommen können das token-Wert mit @helper.CSRF.getToken.value

    Folgenden jQuerys Dokumentation Sie können entweder einmal für alle Ajax-Anfragen durch die Konfiguration von jQuery mit ajaxSetup

    $.ajaxSetup({
  beforeSend: function(xhr) {
    xhr.setRequestHeader('Csrf-Token', '@helper.CSRF.getToken.value');
  }
});

    oder alternativ den Header bei jeder Anfrage durch die Konfiguration der headers Objekt wie folgt:

    $.ajax({
  url: route.url,
  ...
  headers: {
    'Csrf-Token': '@helper.CSRF.getToken.value'
  }
});

    InformationsquelleAutor bmenzel

Schreibe einen Kommentar