尝试更新(或创建)记录时,我收到无效的CSRF令牌错误。我正在使用Elixir v1.0.3,Erlang / OTP 17 [erts-6.3]和Phoenix v0.8.0(我想,我不知道如何查看Phoenix的版本)。我正在创建一个Web应用程序,主要遵循Phoenix指南和Elixir Dose Jobsite示例资源。但是,当我尝试从html表单发布信息时,我收到无效的CSRF令牌错误。根据错误中给出的建议,我将'x-csrf-token':csrf_token添加到操作中。
edit.html.eex:
<h2>Edit Directory</h2>
<form class="form-horizontal" action="<%= directory_path @conn, :update, @directory.id, 'x-csrf-token': @csrf_token %>" method="post">
<div class="form-group">
<label for="directory" class="col-sm-2 control-label">Directory</label>
<div class="col-sm-10">
<input type="hidden" name="_method" value="PATCH">
<input type="text" class="form-control" value="<%= @directory.directory %>" name="directory" placeholder="Directory" required="required">
</div>
</div>
...
但是我收到以下错误:
[error] #PID<0.579.0> running Ainur.Endpoint terminated
Server: localhost:4000 (http)
Request: POST /config/directories/2?x-csrf-token=
** (exit) an exception was raised:
** (Plug.CSRFProtection.InvalidCSRFTokenError) Invalid CSRF (Cross Site Forgery Protection) token. Make sure that all your non-HEAD and non-GET requests include the csrf_token as part of form params or as a value in your request's headers with the key 'x-csrf-token'
(plug) lib/plug/csrf_protection.ex:54: Plug.CSRFProtection.call/2
(ainur) web/router.ex:4: Ainur.Router.browser/2
(ainur) lib/phoenix/router.ex:2: Ainur.Router.call/2
(plug) lib/plug/debugger.ex:104: Plug.Debugger.wrap/3
(phoenix) lib/phoenix/endpoint/error_handler.ex:43: Phoenix.Endpoint.ErrorHandler.wrap/3
(ainur) lib/ainur/endpoint.ex:1: Ainur.Endpoint.phoenix_endpoint_pipeline/2
(plug) lib/plug/debugger.ex:104: Plug.Debugger.wrap/3
(phoenix) lib/phoenix/endpoint/error_handler.ex:43: Phoenix.Endpoint.ErrorHandler.wrap/3
据我所知(对Elixir,Phoenix和HTML来说是新手),“action”本质上是一个路径,我在其中放置的任何参数都将找到返回应用程序的路径。事实上,我发现x-csrf-token =“”被传递回路由器,因此@csrf_token必须不正确。我不确定csrf_token究竟来自哪里,所以我不知道如何引用它(或者我这样做完全错了)。
非常感谢任何想法。
答案 0 :(得分:20)
在菲尼克斯的0.13版本上你可以做到
<input type="hidden" name="_csrf_token" value="<%= get_csrf_token() %>">
因为在文件web/web.ex上导入了此功能。
答案 1 :(得分:8)
作为自v0.10.0以来可用的另一种解决方案,您可以让Phoenix为您注入CSRF输入。
<%= form_tag("/hello", method: :post) %>
... your form stuff. input with csrf value is created for you.
</form>
这将输出表单标签和一些输入标签,包括_csrf_token一个。结果将如下所示:
<form accept-charset="UTF-8" action="/hello" method="post">
<input name="_csrf_token" value="[automatically-inserted token]" type="hidden">
<input name="_utf8" value="✓" type="hidden">
</form>
form_tag docs:“对于'发布'请求,表单标记将自动包含名为_csrf_token的输入标记。”
答案 2 :(得分:4)
要查看已安装的版本,请运行
cat ./deps/phoenix/mix.exs | grep version
其中显示了你在deps目录中拥有的凤凰。
此外,如果/当你升级到凤凰0.9.0时,情况发生了变化(由于Plug.CSRFProtection的更新),CSRF使用cookie而不是会话的方式不同。
来自Phoenix changelog for v0.9.0 (2015-02-12)
[Plug] Plug.CSRFProtection现在使用cookie而不是session和 需要“_csrf_token”参数而不是“csrf_token”
要访问令牌的值,请从cookie中获取if,这在服务器端看起来像
Map.get(@conn.req_cookies, "_csrf_token")
因此,对于您的代码,看起来像
<h2>Edit Directory</h2>
<form class="form-horizontal" action="<%= directory_path @conn, :update, @directory.id, 'x-csrf-token': Map.get(@conn.req_cookies, "_csrf_token") %>" method="post">
<div class="form-group">
<label for="directory" class="col-sm-2 control-label">Directory</label>
<div class="col-sm-10">
<input type="hidden" name="_method" value="PATCH">
<input type="text" class="form-control" value="<%= @directory.directory %>" name="directory" placeholder="Directory" required="required">
</div>
</div>
现在,为了完整起见,我需要为纯粹客户端构建的请求更新CSRF,所以这里是我如何使用JQuery cookie在javascript中访问cookie以便于访问。您应该可以通过运行以下
在浏览器中查看该值$.cookie("_csrf_token")
可能会返回类似
的内容"K9UDa23e1sacdadfmvu zzOD9VBHTSr1c/lcvWY="
请注意,在上面的空格中,凤凰被url编码为+,这仍然导致CSRF失败。现在是插件中的一个错误,或者只是要处理的东西,我不确定,所以现在我只是简单地处理+
$.cookie("_csrf_token").replace(/\s/g, '+');
通过访问CSRF令牌,我们现在只需要将x-csrf-token添加到您的请求标头(thank you ilake)。以下是使其与ajax调用工作一起使用的代码(相应地填写url和数据以及响应)。
$.ajax({
url: 'YOUR URL HERE',
type: 'POST',
beforeSend: function(xhr) {
xhr.setRequestHeader('x-csrf-token', $.cookie("_csrf_token").replace(/\s/g, '+'))
},
data: 'someData=' + someData,
success: function(response) {
$('#someDiv').html(response);
}
});
请注意,您也可以将_csrf_token作为参数发回,但我更喜欢上述内容,对我来说感觉更干净。
最后说明,我没有足够的声誉点来正确发布jquery cookie的链接,但谷歌应该很容易。
答案 3 :(得分:2)
我在http://phoenix.thefirehoseproject.com找到了答案。您必须创建一个函数来获取csrf标记:
网/ view.ex
def csrf_token(conn) do
Plug.Conn.get_session(conn, :csrf_token)
end
然后在模板中检索它:
网/模板/目录/ edit.html.eex
<form class="form-horizontal" action="<%= directory_path @conn, :update, @directory.id %>" method="post">
<input type="hidden" name="csrf_token" value="<%= csrf_token(@conn) %>">
那就是它!
答案 4 :(得分:1)
我的解决方法是:
将Phoenix.Controller.get_csrf_token:0导入到MyModule.view:0(在apps / my_app_web / lib / my_app_web.ex下):
import Phoenix.Controller, only: [get_csrf_token: 0, get_flash: 2, view_module: 1]
在我的表单中添加隐藏的参数:
<input type="hidden" name="_csrf_token" value="<%= get_csrf_token() %>" />
答案 5 :(得分:0)
在我的情况下,导致问题的是plug :scrub_params行。
评论该线后,它的工作原理。但是需要确保修复它,因为没有scrub_params,应用程序将是不安全的。