Rails 4 Authenticityトークン

認証トークンの問題に遭遇したとき、私は新しいRails 4アプリ（Ruby 2.0.0-p0上）に取り組んでいました。

（respond_toクラスメソッドを使用して）jsonに応答するコントローラーを作成しているときに、を使用してレコードを作成しようとすると例外createがActionController::InvalidAuthenticityToken発生し始めましたcurl。

私は私が設定したことを確認し-H "Content-Type: application/json"、データを設定しました-d "<my data here>"が、まだ運がありません。

Rails 3.2（Ruby 1.9.3上）を使用して同じコントローラを作成してみましたが、認証トークンの問題はまったく発生しませんでした。私は周りを検索しましたが、Rails 4の認証トークンにいくつかの変更があることがわかりました。これは何らかの方法でHTML以外のコンテンツタイプに影響していると思います。

HTMLフォームをリクエストし、認証トークンをひったくりして、そのトークンで別のリクエストを行うことなく、これを回避する方法はありますか？または、私は完全に明白なものを完全に見逃していますか？

編集：何も変更せずに足場を使用して新しいRails 4アプリで新しいレコードを作成しようとしたところ、同じ問題が発生しているので、私が行ったことではないようです。

私はそれを理解したと思います。（新しい）デフォルトを変更した

protect_from_forgery with: :exception

に

protect_from_forgery with: :null_session

のコメントに従ってApplicationController。

# Prevent CSRF attacks by raising an exception.
# For APIs, you may want to use :null_session instead.

のソースrequest_forgery_protecton.rb、またはより具体的には次の行を見ると、違いを確認できます。

でRailsの3.2：

# This is the method that defines the application behavior when a request is found to be unverified.
# By default, \Rails resets the session when it finds an unverified request.
def handle_unverified_request
  reset_session
end

でRailsの4：

def handle_unverified_request
  forgery_protection_strategy.new(self).handle_unverified_request
end

これは次を呼び出します：

def handle_unverified_request
  raise ActionController::InvalidAuthenticityToken
end

csrf保護をオフにする代わりに、次のコード行をフォームに追加することをお勧めします

<%= tag(:input, :type => "hidden", :name => request_forgery_protection_token.to_s, :value => form_authenticity_token) %> 

form_forまたはform_tagを使用してフォームを生成している場合は、上記のコード行がフォームに自動的に追加されます

次の行をフォームに追加するとうまくいきました：

<%= hidden_field_tag :authenticity_token, form_authenticity_token %>

APIを独占的に実装しない限り、CSRF保護をオフにすることは一般的に良いことではないと思います。

ActionControllerの Rails 4 APIドキュメントを見ると、コントローラーごとまたはメソッドベースごとに偽造防止をオフにできることがわかりました。

たとえば、使用できるメソッドのCSRF保護をオフにするには

class FooController < ApplicationController
  protect_from_forgery except: :index

同じ問題に出くわした。私のコントローラーに追加して修正しました：

      skip_before_filter :verify_authenticity_token, if: :json_request?

試しましたか？

 protect_from_forgery with: :null_session, if: Proc.new {|c| c.request.format.json? }

この公式ドキュメント-APIの偽造防止を適切にオフにする方法について説明しています http://api.rubyonrails.org/classes/ActionController/RequestForgeryProtection.html

これはRailsのセキュリティ機能です。次のコード行をフォームに追加します。

<%= hidden_field_tag :authenticity_token, form_authenticity_token %>

ドキュメントはここにあります：http : //api.rubyonrails.org/classes/ActionController/RequestForgeryProtection.html

これらの機能は、セキュリティと偽造防止の目的で追加されました。
しかし、あなたの質問に答えるために、ここにいくつかの入力があります。コントローラ名の後にこれらの行を追加できます。

そのようです、

class NameController < ApplicationController
    skip_before_action :verify_authenticity_token

以下は、レールの異なるバージョンのいくつかの線です。

Rails 3

skip_before_filter：verify_authenticity_token

Rails 4：

skip_before_action：verify_authenticity_token

すべてのコントローラールーチンに対してこのセキュリティ機能を無効にする場合は、application_controller.rbファイルのprotect_from_forgeryの値を：null_sessionに変更できます。

そのようです、

class ApplicationController < ActionController::Base
  protect_from_forgery with: :null_session
end

RailsでjQueryを使用している場合は、認証トークンを検証せずにメソッドへのエントリを許可するように注意してください。

jquery-ujsはトークンを管理できます

jquery-rails gemの一部としてすでに持っているはずですが、application.jsに含める必要があるかもしれません。

//= require jquery_ujs

これで十分です-これでajax呼び出しが機能するはずです

詳細については、https：//github.com/rails/jquery-ujsを参照して ください。

authenticity_token: trueフォームタグに追加

独自のhtmlフォームを定義する場合は、セキュリティ上の理由からコントローラーに送信する必要がある認証トークン文字列を含める必要があります。Railsフォームヘルパーを使用して認証トークンを生成すると、次のようにフォームに追加されます。

<form accept-charset="UTF-8" action="/login/signin" method="post">
  <div style="display:none">
    <input name="utf8" type="hidden" value="&#x2713;" />
    <input name="authenticity_token" type="hidden" value="x37DrAAwyIIb7s+w2+AdoCR8cAJIpQhIetKRrPgG5VA=">
  </div>
    ...
</form>

したがって、問題の解決策は、authenticity_tokenフィールドを追加するか、セキュリティを危険にさらすのではなく、ヘルパーフォームヘルパーを使用することです。

私のテストはすべてうまくいきました。しかし、何らかの理由で、環境変数を非テストに設定しました。

export RAILS_ENV=something_non_test

この変数を設定解除するのを忘れたため、ActionController::InvalidAuthenticityToken例外が発生し始めました。

設定を解除した後$RAILS_ENV、テストが再び機能し始めました。