Paperclip gem触发CSRF令牌验证问题

时间:2013-03-07 00:55:44

标签: ruby-on-rails-3 ruby-on-rails-3.1 paperclip csrf

我有一个Rails 3.1应用程序,它使用了paperclip gem(v 3.4.0)。简而言之。我有一个故事模型和一个帖子模型。一个故事可以有很多帖子。 

#story.rb

class Story < ActiveRecord::Base

  attr_accessible :title, :user_id, :username, :posts_attributes

  belongs_to    :user
  has_many      :posts, :dependent  =>  :destroy,
                      :order => "created_at DESC"

  accepts_nested_attributes_for :posts, :reject_if => lambda { |t| t['contents'].nil? }

end

#post.rb

class Post < ActiveRecord::Base

  attr_accessible :contents, :photo, :dimensions

  belongs_to    :story, :touch => true
  belongs_to    :user, :touch => true

  has_attached_file :photo, 
                    :styles => { 
                      :medium => { :geometry => "400x400>" },
                      :thumb => { :geometry => "100x100>" },
                    },
                    :processors => [:thumbnail],
                    :storage => :s3,
                    :s3_credentials => "#{Rails.root.to_s}/config/s3.yml",
                    :path => "/:style/:id/:filename"


  before_save   :extract_dimensions

  serialize   :dimensions

  validates   :contents,  :presence   => true,
                      :length         => {  :maximum => 399,
                                        :minimum => 5 } 
  validates   :user_id,   :presence => true

  validates_attachment_content_type :photo, 
    :content_type => ['image/jpeg', 'image/png', 'image/gif', 'image/jpg'],
    :message => "Sorry, we don't support that type of image format"

end

如您所见,帖子可能包含照片附件。我使用回形针来管理这些附件。

我使用javascript / jquery生成在客户端上动态POST这些帖子的表单。我的问题是这个。 。 。如果帖子不包含照片附件,一切都很完美。如果,但是,一个帖子有照片附件,我收到以下错误消息,帖子没有发布:

WARNING: Can't verify CSRF token authenticity
  User Load (0.5ms)  SELECT "users".* FROM "users" WHERE "users"."id" = 61 LIMIT 1
   (0.3ms)  BEGIN
   (0.2ms)  COMMIT
Completed 401 Unauthorized in 238ms

结果,我的会话数据被破坏,我甚至无法看到Firebug的请求标头。 put请求根本不会出现在firebug中。

现在,毫不奇怪,我可以通过PostController中的以下内容解决这个问题:

skip_before_filter :verify_authenticity_token, :only => [:create]

但我不想放弃这种安全感。我还尝试通过js / jquery:

将CSRF标题添加到我的表单中 
jQuery.ajaxSetup({ 
  beforeSend: function(xhr) {
    xhr.setRequestHeader('X-CSRF-Token', $('meta[name="csrf-          
            token"]').attr('content'));
  }
});

但这并没有解决问题,正如我上面所说,我甚至无法看到请求标头数据以查看标题。

任何人都可以提出回形针触发问题的原因吗?

3 个答案:

答案 0 :(得分:1)

我知道自从我第一次发布上述问题以来已经有一段时间了,但人们仍在搜索中找到它,所以我想我会用答案更新内容。

我上面讨论过的问题与Paperclip无关。表单是在没有csrf令牌的情况下提交的,因为我使用remotipart.js来处理提交具有文件附件的表单。 Remotipart通过将表单数据复制到i-frame中来实现类似ajax的提交,然后在您的站点保持活动状态时进行正常(即非ajax)提交。有关通过i-frame上传ajax文件的更详细说明,请参阅this article

在以前版本的remotipart中,csrf标记未复制到i-frame提交的表单。支持远程人员的好人现在已经解决了这个缺点。您可以找到修复here

答案 1 :(得分:0)

$.ajaxSetup({
    beforeSend: function(xhr) {
        xhr.setRequestHeader('X-CSRF-Token',
                             $('meta[name="csrf-token"]').attr('content'));
    }
});

在js

并在布局中

<%= csrf_meta_tags %>

文件应足以使其正常工作。

否则您可以使用处理CSRF令牌的jquery-rails gem

答案 2 :(得分:0)

这是解决问题所需要的:

https://github.com/JangoSteve/remotipart

相关问题
最新问题