Ungültige Authentizität Token auf Post

Ich bin mit devise anmelden/in.

Routen

get 'profile' => 'profile#get_profile'
post 'profile' => 'profile#create_profile'

und profile_controller

def get_profile
    render json: {user: current_user}, status: :ok
end

def create_profile
    render json: {user: current_user}, status: :ok
end

BEKOMMEN: http://localhost:3000/user/profile liefert die erwartete Ausgabe. Allerdings

POST Anfrage wirft eine Fehlermeldung angezeigt:

ActionController::InvalidAuthenticityToken in User::ProfileController#create_profile.

Bitte entwirren Sie dieses Verhalten.

Möglich, Duplikat der ActionController::InvalidAuthenticityToken

InformationsquelleAutor Imran | 2015-12-13

  1. 26

    Deaktivieren CSRF protection Sie können Ihre ApplicationControllerwie diese:

    class ApplicationController < ActionController::Base
  protect_from_forgery with: :null_session

  # ...
end

    oder deaktivieren Sie die CSRF protection für bestimmte controller:

    class ProfilesController < ApplicationController
  skip_before_action :verify_authenticity_token

  # ...
end

    :null_session Strategie leert die session anstatt eine Ausnahme , die ist perfekt für eine API. Weil die session leer ist, können Sie nicht verwenden current_user Methode oder othes Helfer, die sich auf die session.

    WICHTIG:

    • protect_from_forgery with: :null_session muss verwendet werden, nur in bestimmten
      Fällen, zum Beispiel-API-Anfrage (POST/PUT/PATCH/LÖSCHEN) ohne html-Formular
    • Mit protect_from_forgery with: :null_session müssen Sie beschränken Sie den Zugriff auf Ihre Daten mit einer Genehmigung system, weil jeder das tun könnte Anfrage gegen Ihre API-Endpunkt
    • Nicht entfernen protect_from_forgery with: :exception für Anforderungen, die durch html-Formular, ist gefährlich! (Lesen Sie hier http://guides.rubyonrails.org/security.html#cross-site-request-forgery-csrf)

    Zu behandeln, sowohl standard-Anfragen (über html-Formular) und API-Anfragen im Allgemeinen haben Sie zwei verschiedene controller für die gleiche Ressource. Beispiel:

    Routen

    Rails.application.routes.draw do
  resources :profiles

  namespace :api do
    namespace :v1 do
      resources :profiles
    end
  end

end

    ApplicationController

    # app/controllers/application_controller.rb
class ApplicationController < ActionController::Base
  # Prevent CSRF attacks by raising an exception.
  # For APIs, you may want to use :null_session instead.
  protect_from_forgery with: :exception
end

    ProfilesController

    (standard-Steuerung für html-Anfragen)

    # app/controllers/profiles_controller.rb
class ProfilesController < ApplicationController

  # POST yoursites.com/profiles
  def create
  end
end

    Api::V1::ProfilesController

    (controller für API-Anfragen)

    # app/controllers/api/v1/profiles_controller.rb
module Api
  module V1
    class ProfilesController < ApplicationController
      # To allow only json request
      protect_from_forgery with: :null_session, if: Proc.new {|c| c.request.format.json? }

      # POST yoursites.com/api/v1/profiles
      def create
      end
    end
  end
end

    refereces:
    http://api.rubyonrails.org/classes/ActionController/RequestForgeryProtection/ClassMethods.html#method-i-protect_from_forgery

    Ich habe Behinderte CSRF-Schutz für jetzt. Wann hast protect_from_forgery mit: :null_session ich war nicht in der Lage zu bekommen current_user aus der Sitzung.
    mit: :null_session liefert einen leeren Sitzung, bei jeder Anfrage, oder vielmehr, Sie können nicht current_user Methode oder Helfer, die sich auf die session, weil es leer ist. Ich bearbeitet meine Antwort zu versuchen zu erklären, besser die verschiedenen Fälle.
    als NickGnd umrissen hat, und das denke ich, muss hervorgehoben werden: SIE MÜSSEN eine Genehmigung und eine Zulassung in Ort, um sicherzustellen, dass die Schurken-API-post-Anfragen nicht tun können Schäden an Ihrem app.

    InformationsquelleAutor NickGnd

  2. 4

    Get-Anfragen nicht eine Authentizität token.

    Müssen Sie die request forgery Zeug, um Ihre Formulare mit diesem

    <%= csrf_meta_tag %>

    Und Adresse per javascript

    $('meta[name="csrf-token"]')
    Ich habe nicht erstellt irgendeiner form noch, mache ich die back-end-Seite nur die rendering-json-Ausgabe im browser.
    Ich habe es wie du gesagt hast, aber gibt es eine andere Möglichkeit, es zu beheben, weil ich nicht den frontend-Teil.

    InformationsquelleAutor Austio

  3. -4

    In ApplicationController (oder einem anderen controller Ihrem Controller Erben von) gibt es eine Zeile:

    protect_from_forgery with: :exception

    Entfernen und CSRF-Angriffe überprüft werden deaktiviert.

    Tun Sie das nicht. Seine es für einen Grund. Öffnen Sie die app, um CSRF-Angriffe.
    wie ist die null_session anders aus, entfernen der protect_from_forgery Linie insgesamt?

    InformationsquelleAutor Jeiwan

Schreibe einen Kommentar