Rails无法使用X-CSRF-TOKEN标头验证CSRF令牌真实性ajax

时间:2016-06-03 11:43:16

标签: ruby-on-rails ajax csrf

我尝试在我的数据库中注册服务工作者端点,但是当我使用fetch发送我的帖子数据时,会引发错误。

我想保留csrf验证。你看错了吗?

            var ready;

            ready = function(){
              if ('serviceWorker' in navigator) {
               console.log('Service Worker is supported');
                navigator.serviceWorker.register('/service-worker.js').then(function(reg) {

                 reg.pushManager.subscribe({
                     userVisibleOnly: true
                 }).then(function(sub) {
                     console.log('endpoint:', sub.endpoint);
                     console.log(sub);
                     var token = $('meta[name=csrf-token]').attr('content')
            console.log(token);

                     return fetch('/register_endpoint', {
                    method: 'post',
                    headers: {
                      'Content-type': 'application/json',
                      'X-CSRF-TOKEN': token
                    },
                    body: JSON.stringify({
                      endpoint: sub.endpoint,
                      authenticity_token: token

                    })
                  });
                 });


               }).catch(function(err) {
                 console.log('Erreur -> ', err);
               });
              }

            };



            $(document).ready(ready);
            $(document).on('page:load',ready);

感谢

3 个答案:

答案 0 :(得分:10)

问题是,如果未在credentials中将fetch指定为选项,则不会发送会话Cookie。

credentials3 possible values

  • omit - >不发送cookie
  • same-origin - >仅当URL与调用脚本
  • 的源相同时才发送cookie
  • include - >始终发送cookie,即使是跨域呼叫

所以这应该可行:

return fetch('/register_endpoint', {
 method: 'post',
 headers: {
  'Content-type': 'application/json',
  'X-CSRF-TOKEN': token
  },
  body: JSON.stringify({endpoint: sub.endpoint}),
  credentials: 'same-origin'
})

Here有关本机fetch api的更多信息。

答案 1 :(得分:0)

这也不适用于我,所以我覆盖了 verified_request?方法CsrfToken

class ApplicationController < ActionController::Base
  protect_from_forgery
  skip_before_action :verify_authenticity_token, if: :verified_request?

  protected

  def verified_request?
      return true if request.get?
      if respond_to?(:valid_authenticity_token?, true)
        super || valid_authenticity_token?(session, URI.unescape(request.headers['X-CSRF-TOKEN'] || "") )
      else
        super || form_authenticity_token == URI.unescape(request.headers['X-CSRF-TOKEN'] || "")
      end
    end
end

答案 2 :(得分:-1)

$ajaxfetch两者都有效。

let token = function(xhr) {xhr.setRequestHeader('X-CSRF-Token', $('meta[name="csrf-token"]').attr('content'))};

$.ajax({ url: URL,
  type: 'POST',
  beforeSend: token,
  data: 'someData=' + someData,
  success: function(response) {
    $('#someDiv').html(response);
  }
});


#OR

return fetch( URL, {
 method: 'post',
 headers: {
  'Content-type': 'application/json',
  'X-CSRF-TOKEN': token
  },
  body: JSON.stringify({endpoint: sub.endpoint}),
  credentials: 'same-origin'
})