我有一个Rails 5 API应用程序(ApplicationController < ActionController::API)。需要为此API的一个端点添加一个简单的GUI表单。
当我尝试渲染表单时,我最初得到ActionView::Template::Error undefined method protect_against_forgery?。我将include ActionController::RequestForgeryProtection和protect_from_forgery with:exception添加到该端点。哪个问题按预期解决了。
但是,当我尝试提交此表单时,我得到:422 Unprocessable Entity ActionController::InvalidAuthenticityToken。我添加了<%= csrf_meta_tags %>并确认我的标头中存在meta: csrf-param和meta: csrf-token,并且authenticity_token出现在我的表单中。 (令牌本身彼此不同。)
我试过,protect_from_forgery prepend: true, with:exception,没有效果。我可以通过评论来“修复”此问题:protect_from_forgery with:exception。但我的理解是,这正在关闭我的表格上的CSRF保护。 (我想要CSRF保护。)
我错过了什么?
更新
为了明确这一点,99%的应用程序都是纯JSON RESTful API。需要添加一个HTML视图和表单到这个应用程序。所以对于一个控制器我想启用完整的CSRF保护。该应用程序的其余部分不需要CSRF,可以保持不变。
更新2:
我只是将这个应用程序的HTML表单和Header的页面源与我编写的另一个传统的Rails 5应用程序进行了比较。标题中的authenticity_token和表单中的authenticity_token 相同。在API应用程序中我遇到了问题,他们不同。也许那是什么?
更新3:
好的,我不认为不匹配是问题所在。但是,在进一步比较工作和非工作应用程序时,我注意到网络中没有任何内容&gt;饼干。我在工作应用程序的cookie中看到了一堆像_my_app-session这样的东西。
答案 0 :(得分:17)
以下是问题所在:Rails 5,在API模式下,逻辑上不包含Cookie中间件。没有它,在验证我通过表单传递的令牌时,Cookie中存储的会话key不会被使用。
有些令人困惑,改变config/initializers/session_store.rb中的内容没有任何效果。
我最终在这里找到了这个问题的答案:Adding cookie session store back to Rails API app,它引导我到这里:https://github.com/rails/rails/pull/28009/files它提到了我需要添加到application.rb的行以恢复工作的Cookie:
config.session_store :cookie_store, key: "_YOUR_APP_session_#{Rails.env}"
config.middleware.use ActionDispatch::Cookies # Required for all session management
config.middleware.use ActionDispatch::Session::CookieStore, config.session_options
这三行加上:
class FooController < ApplicationController
include ActionController::RequestForgeryProtection
protect_from_forgery with: :exception, unless: -> { request.format.json? }
...
当然是通过适当帮助者生成的表格:
form_tag(FOO_CREATE_path, method: :post)
...
在我的Rails API应用程序中间获得了一张受CSRF保护的表单。
答案 1 :(得分:11)
如果您使用的是Rails 5 API模式,则不要在任何视图中使用protect_from_forgery或包含<%= csrf_meta_tags %>,因为您的API是“无状态”。如果您打算使用完整的Rails(而不是API模式),同时将其用作其他应用程序/客户端的REST API,那么您可以执行以下操作:
protect_from_forgery unless: -> { request.format.json? }
这样在适当的时候会调用protect_from_forgery。但是我在您的代码中看到ActionController::API,所以看起来您正在使用API模式,在这种情况下,您将完全从应用程序控制器中删除该方法
答案 2 :(得分:3)
AJAX调用和apis不需要protect_from_forgery。
如果您想要禁用某些操作,那么
protect_from_forgery except: ['action_name']
答案 3 :(得分:0)
class Api::ApiController < ApplicationController
skip_before_action :verify_authenticity_token
end
与上述导轨5一起使用
答案 4 :(得分:0)
我在处理仅支持 Rails 6 API 的应用程序时遇到了这个挑战。
我是这样解决的:
首先,将其包含在您的 app/controllers/application_controller.rb 文件中:
class ApplicationController < ActionController::API
include ActionController::RequestForgeryProtection
end
注意:添加此项是因为 protect_from_forgery 是 ActionController::RequestForgeryProtection 中包含的类方法,在 API 模式下使用 Rails 时不可用。
接下来,添加跨站请求伪造保护:
class ApplicationController < ActionController::API
include ActionController::RequestForgeryProtection
protect_from_forgery with: :null_session
end
或者,如果您想根据请求格式有条件地保护_from_forgery:
class ApplicationController < ActionController::API
include ActionController::RequestForgeryProtection
protect_from_forgery with: :exception if proc { |c| c.request.format != 'application/json' }
protect_from_forgery with: :null_session if proc { |c| c.request.format == 'application/json' }
end
最后,将以下行添加到您的 config/application.rb 文件中。将它添加到 class Application < Rails::Application 类中,就在底部:
config.middleware.use ActionDispatch::Flash
所以它看起来像这样:
module MyApp
class Application < Rails::Application
# Initialize configuration defaults for originally generated Rails version.
config.load_defaults 6.1
# Configuration for the application, engines, and railties goes here.
#
# These settings can be overridden in specific environments using the files
# in config/environments, which are processed later.
#
# config.time_zone = "Central Time (US & Canada)"
# config.eager_load_paths << Rails.root.join("extras")
# Only loads a smaller set of middleware suitable for API only apps.
# Middleware like session, flash, cookies can be added back manually.
# Skip views, helpers and assets when generating a new resource.
config.api_only = true
config.middleware.use ActionDispatch::Flash
end
end
注意:这将防止出现以下错误:
NoMethodError (undefined method `flash=' for #<ActionDispatch::Request:0x0000558a06b619e0>):
仅此而已。
我希望这会有所帮助