我在Modal的Rails4中提交表单。这个解决方案在Rails 3.x
中运行良好代码如下:
<div class="modal fade" id="copy-product-addons">
<div class="modal-dialog">
<div class="modal-content">
<div class="modal-header">
<button type="button" class="close" data-dismiss="modal">×</button>
<h4>Copy Add-Ons From:</h4>
</div>
<div class="modal-body">
<form id="addons-copy" method="POST" action="<%= copy_addons_product_path(@product) %>">
<%= select_tag "from", options_from_collection_for_select(@shop.enabled_products - [@product], 'id', 'name'), :class => "form-control %>
</form>
</div>
<div class="modal-footer">
<a href="#" class="btn btn-danger" data-dismiss="modal">Cancel</a>
<a href="#" onclick="$('#addons-copy').submit(); return false;" class="btn btn-primary">Copy Add-ons</a>
</div>
</div>
</div>
</div>
<% end %>
作为回复,不是执行特定操作,而是通过登录我将其重定向到登录页面。
终端中的响应如下:
> Started POST "/products/10168/copy_addons" for 127.0.0.1 at 2016-01-10
> 21:19:10 +0100 Processing by ProductsController#copy_addons as HTML
> Parameters: {"from"=>"10130", "id"=>"10168"} Can't verify CSRF token
> authenticity Redirected to http://myr-d.dev/login Filter chain
> halted as :require_login rendered or redirected
谢谢
答案 0 :(得分:6)
在Rails 4中,有些约定可以阻止针对HTML请求的CSRF攻击。这篇SO帖子很好地解释了一般概念:Understanding the Rails Authenticity Token
看起来您的Controller正在检查CSRF令牌,但您的表单没有发送。这是因为您在视图中使用了手动<form>标记,该标记不包含所需的隐藏标记。
如果您使用Rails form_tag帮助方法,Rails会自动为您生成真实性令牌,然后将其作为表单的一部分发送:
<div class="modal-body">
<%= form_tag(copy_addons_product_path(@product), id: "addons-copy") do %>
<%= select_tag "from", options_from_collection_for_select(@shop.enabled_products - [@product], 'id', 'name'), :class => "form-control %>
<% end -%>
</div>
如果您检查将从此生成的HTML,您将看到隐藏的输入标记;像这样的东西:
<input name="authenticity_token" type="hidden" value="NrOp5bsjoLRuK8IW5+dQEYjKGUJDe7TQoZVvq95Wteg=" />
这是令牌作为表单的一部分发送的方式。然后,您的Controller会将其与当前令牌进行比较,以验证没有CSRF尝试,并且您不应再遇到此错误。