Rails：POSTリクエストを行うときにCSRFトークンの信頼性を検証できません

私はPOST requestこのように私の地元の開発者に作りたいです：

  HTTParty.post('http://localhost:3000/fetch_heroku',
                :body => {:type => 'product'},)

ただし、サーバーコンソールからはレポートされます

Started POST "/fetch_heroku" for 127.0.0.1 at 2016-02-03 23:33:39 +0800
  ActiveRecord::SchemaMigration Load (0.0ms)  SELECT "schema_migrations".* FROM "schema_migrations"
Processing by AdminController#fetch_heroku as */*
  Parameters: {"type"=>"product"}
Can't verify CSRF token authenticity
Completed 422 Unprocessable Entity in 1ms

これが私のコントローラーとルートのセットアップです。とても簡単です。

  def fetch_heroku
    if params[:type] == 'product'
      flash[:alert] = 'Fetch Product From Heroku'
      Heroku.get_product
    end
  end

  post 'fetch_heroku' => 'admin#fetch_heroku'

何をする必要があるのか​​わかりませんか？CSRFをオフにすることは確かに機能しますが、そのようなAPIを作成するときは私の間違いだと思います。

他に必要な設定はありますか？

クロスサイトリクエストフォージェリ（CSRF / XSRF）とは、悪意のあるWebページがユーザーをだまして、ブックマークレットやiframeを使用したり、ユーザーをだますのに十分な視覚的類似性のあるページを作成したりするなど、意図しないリクエストを実行させることです。

RailsのCSRF保護は「古典」のWebアプリケーションのために作られている-それは単に要求が独自のWebアプリから発信という保証の度合いを与えます。CSRFトークンは、サーバーだけが知っている秘密のように機能します。Railsはランダムなトークンを生成し、それをセッションに保存します。フォームは非表示の入力を介してトークンを送信し、RailsはGET以外のリクエストにセッションに保存されているものと一致するトークンが含まれていることを確認します。

ただし、APIは通常、定義上クロスサイトであり、Webアプリ以外で使用することを目的としています。つまり、CSRFの概念全体が完全に適用されるわけではありません。

代わりに、APIキーとシークレットを使用してAPIリクエストを認証するトークンベースの戦略を使用する必要があります。これは、リクエストが独自のアプリからではなく、承認されたAPIクライアントからのものであることを確認するためです。

@dcestariで指摘されているように、CSRFを非アクティブ化できます。

class ApiController < ActionController::Base
  protect_from_forgery with: :null_session
end

更新しました。Rails 5では、次の--apiオプションを使用してAPIのみのアプリケーションを生成できます。

rails new appname --api

これらには、CSRFミドルウェアやその他のすばらしいコンポーネントは含まれていません。

• http://guides.rubyonrails.org/security.html#cross-site-request-forgery-csrf
• https://labs.kollegorna.se/blog/2015/04/build-an-api-now/
• 警告：CSRFトークンの信頼性レールを検証できません

nullセッションをレンダリングしないCSRFをオフにする別の方法は、次を追加することです。

skip_before_action :verify_authenticity_token

Railsコントローラーで。これにより、セッション情報に引き続きアクセスできるようになります。

繰り返しになりますが、これはAPIコントローラーまたはCSRF保護が完全に適用されない他の場所でのみ行うようにしてください。

api.rubyonrails.orgのAPIコントローラーに関するCSRFの構成に関する関連情報があります。

⋮

XMLまたはJSONリクエストも影響を受けることを覚えておくことが重要です。また、APIを構築している場合は、次のように偽造保護方法を変更する必要ApplicationControllerがあります（デフォルトでは:) :exception。

class ApplicationController < ActionController::Base
  protect_from_forgery unless: -> { request.format.json? }
end

APIは通常ステートレスになるように設計されているため、APIのCSRF保護を無効にすることをお勧めします。つまり、リクエストAPIクライアントがRailsの代わりにセッションを処理します。

⋮

Rails 5以降、:: Baseの代わりに:: APIを使用して新しいクラスを作成することもできます。

class ApiController < ActionController::API
end

サンプルコントローラーのサンプルアクションを除外する場合

class TestController < ApplicationController
  protect_from_forgery :except => [:sample]

  def sample
　　　　　render json: @hogehoge
  end
end

外部からのリクエストも問題なく処理できます。

この問題の最も簡単な解決策は、コントローラーで標準的なことを行うか、直接ApplicationControllerに入れることです。

class ApplicationController < ActionController::Base protect_from_forgery with: :exception, prepend: true end

（コントローラー全体ではなく）1つ以上のコントローラーアクションのCSRF保護のみをスキップする場合は、これを試してください

skip_before_action :verify_authenticity_token, only [:webhook, :index, :create]

[:webhook, :index, :create]これらの3つのアクションのチェックはどこでスキップされますが、スキップしたい方に変更できます