Question

由于几个原因，我需要通过Ajax向控制器发送一个post请求，我不能涉及一个表单，它必须是一个写在资产中的文件内的JS Ajax请求＆gt; javascript或标签之间。

我写了一个似乎正确传递数据的函数。但是，它没有传递有效的真实性令牌，因此不允许请求通过。

是否有办法遵守CSRF保护生成令牌，以便控制器对此感到满意？

到目前为止，我的Ajax功能是：

  var functionOne = function() {
  var $form = $('#'  + tinyMCE.activeEditor.formElement.id);
  var action = $form.attr('action')
  $.ajax({
    method: "POST",
    url: action,
    data: $form.serialize(),
    dataType: 'script',
  });
};

此表单正在传递以下参数

{"utf8"=>"✓", "_method"=>"patch", "open_ender"=>
  {"answer_id"=>"4",
  "content"=>"<p>testing text</p>"},
  "id"=>"5"}

我尝试在Ajax对象中包含以下行

authenticity_token: $('meta[name=csrf-token]').attr('content'),

，这在应用程序布局中没有成功

$(function(){
  $.ajaxSetup({
  headers: { 'X-CSRF-Token': $('meta[name="csrf-token"]').attr('content') }
  });
});

更新

来自Aniket解决方案的公寓。添加

authenticity_token: true

表单选项hash中的

也解决了这个问题

Answer 1

只需在表单内部传递一个带有真实性令牌值的隐藏字段即可。

<%= f.hidden_field :authenticity_token, value: form_authenticity_token %>

OR

<input type=hidden name="authenticity_token" value="<%= form_authenticity_token %>">

Answer 2

Use the below:

  var functionOne = function() {
  var $form = $('#'  + tinyMCE.activeEditor.formElement.id);
  $form = $form.append('<input type = hidden name = "authenticity_token" value = "<%= form_authenticity_token %>">')
  var action = $form.attr('action')
  $.ajax({
    method: "POST",
    url: action,
    data: $form.serialize(),
    dataType: 'script',
  });
};

Rails如何在没有涉及表单的情况下在Ajax请求中发送真实性标记？

2 个答案: