Play Framework 2.6 CSRF和Session
我有一个奇怪的问题。我在我的网站上实现购物车功能,并使用会话来存储购物车位置。我有一个POST动作来添加新的位置到购物车,我启用了CSRF过滤器来保护网站。我在产品页面上用ajax调用它,所以第一次调用没问题,但第二次说未授权,在日志中有[CSRF] Check failed because no token found in headers for /cart。但它有。我称之为:
$("form").submit(function(e){
e.preventDefault();
$.ajax({
url: '/cart',
method: 'POST',
data: getCartPosition(),
beforeSend: function(xhr){xhr.setRequestHeader('Csrf-Token', $('input[name=csrfToken]').val());},
success: function (data, textStatus) {
alert('Added!');
},
error: function (error) {
alert('Error!');
}
});
});
我把CSRF令牌放在模板的某个地方:
@CSRF.formField
并且它在请求中:
我在配置
中启用了此功能play.filters.csrf.bypassCorsTrustedOrigins=true
play.filters.hosts {
# Allow requests to example.com, its subdomains, and localhost:9000
allowed = ["localhost:9000", "localhost:4200"]
}
但奇怪的是,它似乎把csrfToken放在会话中,因为在请求失败后我有这样的会话
Session(Map(cart -> {"positions":
[{"trackId":1},{"trackId":24},{"trackId":20}]},
username -> user,
token -> 0639d0b0-e7c8-4e82-9aad-2a43044e72db,
csrfToken -> e705413843ea96a6491a0e9e800ba36a712c4f70-1506542471068-0baeef7535eb9c889fb6fed2))
Idk为什么会这样,我的add2cart动作如下:
private def cartAction(addToCartForm: Form[CartPosition], action: (Cart, CartPosition) => Cart)(implicit request: UserRequest[Any]) = {
addToCartForm.fold(
_ => BadRequest("Error!"),
position => {
getCart match {
case Some(cart) => Ok("Ok").withSession("cart" -> Json.toJson(action(cart, position)).toString(), "username" -> request.session.get("username").getOrElse(""), "token" -> request.session.get("token").getOrElse(""))
case _ => Ok("Ok, no").withSession("cart" -> Json.toJson(action(Cart(Seq.empty), position)).toString())
}
}
)
}
def addToCart() = guestAction { implicit request =>
cartAction(addToCartForm.bindFromRequest, addCartPos)
}
和addCartPos只是将位置添加到json
2 个答案:
答案 0 :(得分:2)
我在Play 2.7.3上遇到了同样的问题。
在我的情况下,表单是由Twirl用csrf token生成的,并且由于我使用的是Ajax提交表单,因此我从呈现的表单中复制了csrf token并传递了它转到Play文档中写的ajax标头。
该表单可以提交多次,因此我需要更新令牌。因此,我通过了csrf token从控制器中获取的新play.filters.csrf.CSRF.getToken.get.value的ajax响应。
但是不幸的是,第二次提交失败,原因是 cutoffurmind 。
此修复程序如 Knut Arne Vedaa 所述,将新令牌添加到会话中。我是通过withSession方法做到的。
所以控制器的响应看起来像这样:
Ok(Json.obj(
"status" -> (user != None),
"notif" -> "Success login",
"data" -> Map(
"adminUrl" -> "www.something ...",
"csrf" -> play.filters.csrf.CSRF.getToken.get.value
)
)).withSession(
"uid" -> user.getOrElse(User()).id.toString,
"csrfToken" -> play.filters.csrf.CSRF.getToken.get.value
)
这看起来不是问题,因为Play Framework没有在服务器上保留会话数据,因此逻辑上是必须在ajax请求之后在客户端站点中更新令牌。主要问题是该文档(在CSRF ajax部分中)未提及它,这很方便,因为人们只是没有按预期的顺序从A到Z读取文档。
答案 1 :(得分:1)
在我的情况下,解决方案是将play.filters.csrf.cookie.name config选项设置为非null的值:
play.filters.csrf.cookie.name = csrf_token
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?