单页应用程序的Rails CSRF保护（反应，角度，余烬）

Question

确定。我正式对这个问题失去了理智。

我们采用默认的Rails应用程序（5，但我也尝试使用4默认应用。）

我尝试使用简单的javascript代码向一个控制器操作发送ajax POST请求。

在我ApplicationController我有这段代码：

class ApplicationController < ActionController::Base

  after_action :set_csrf_cookie

  protected

    def set_csrf_cookie
      cookies["X-CSRF-Token"] = form_authenticity_token
    end

end

设置Cookie "X-CSRF-Token"，其值为form_authenticity_token。

之后我可以使用以下代码在我的SPA（单页应用程序）中读取此cookie：

<script>
function readCookie(name) {
    var nameEQ = name + "=";
    var ca = document.cookie.split(";");
    for (var i = 0; i < ca.length; i++) {
      var c = ca[i];
      while (c.charAt(0) === " ") c = c.substring(1, c.length);
      if (c.indexOf(nameEQ) === 0) return c.substring(nameEQ.length, c.length);
    }
    return null;
  }

// var token = document.getElementsByName('csrf-token')[0].content; // this works!
const token = readCookie("X-CSRF-Token"); // this doesn't work!

fetch('/api/v1', {
  method: 'POST',
  body: {""},
  headers: {
    'Content-Type': 'application/json',
    'X-CSRF-Token': token
  },
  credentials: 'include'
}).then(function(response) {
  return response.json();
});
</script>

当我使用这一行时：

var token = document.getElementsByName('csrf-token')[0].content;

它的工作原理是因为它读取了Rails在html页面中插入的内容：

<%= csrf_meta_tags %>

<meta name="csrf-param" content="authenticity_token">
<meta name="csrf-token" content="VXaKlO+/Gr/8pGhr5y0bThQ5L/0IDiznMR/9SpaoI6vOoF9KtmB5/9ka+Hz+zjyssNRi/Em/Ye27C+E5pl3odg==">

所以＆＃34; csrf-token＆＃34;的内容工作和我的Rails应用程序可以验证CSRF。

这是来自Rails来源的代码：https://github.com/rails/rails/blob/v5.2.0/actionpack/lib/action_controller/metal/request_forgery_protection.rb

相反，我使用这一行：

const token = readCookie("X-CSRF-Token");

它不起作用，我收到此错误：

Started POST "/api/v1" for 172.18.0.1 at 2018-05-01 18:52:56 +0000
Processing by MyController#action as */*
  Parameters: {"body"=>{}}
Can't verify CSRF token authenticity.
Completed 422 Unprocessable Entity in 2ms (ActiveRecord: 0.0ms)
ActionController::InvalidAuthenticityToken (ActionController::InvalidAuthenticityToken):

此外，如果我使用另一个服务器（npm http-server或Microsoft IIS或其他服务器）使用相同脚本的另一个页面，则问题是相同的。

如果我复制＆＃34; csrf-token＆＃34;的内容从Rails html页面开始，在我的Javascript脚本中使用这一行：

const token = "VXaKlO+/Gr/8pGhr5y0bThQ5L/0IDiznMR/9SpaoI6vOoF9KtmB5/9ka+Hz+zjyssNRi/Em/Ye27C+E5pl3odg==";

它的工作原理！

所以我的问题是：为什么？

我读过的内容（坚果一无所获！）：

• https://github.com/equivalent/scrapbook2/blob/master/archive/blogs/2017-10-12-csrf-protection-on-single-page-app-api.md
• Invalid Auth Token with Rails, Graphql, Apollo Client
• https://www.bhalash.com/archives/13544808782
• Rails CSRF Protection + Angular.js: protect_from_forgery makes me to log out on POST
• https://technpol.wordpress.com/2014/04/17/rails4-angularjs-csrf-and-devise/
• Work with authenticity token? Or disable it?
• Rails API design without disabling CSRF protection

Answer 1

标头Rails的名称是X_CSRF_TOKEN（注意下划线）。我没有看到您共享的其余代码存在问题 - 除非Cookie中的令牌必须经过URI解码（decodeURIComponent），因此如果您仍然收到警告，请检查此问题。

Answer 2

Tnx，我的代码可以正常工作。我只需要添加decodeURIComponent()

const token = decodeURIComponent(readCookie("X-CSRF-Token"));

我将这种方法用于带有缓存html的渐进式Web应用程序。默认的rails元标记（<%= csrf_meta_tags %>）不适用于缓存的html。

此博客文章还提供了其他一些选择：https://www.fastly.com/blog/caching-uncacheable-csrf-security

Answer 3

您检查了readCookie("X-CSRF-Token")的值吗？ 存储到cookie时，该值可能会有所不同，可能是转义的值