ruby-on-rails - Rails 3 简单的 AJAX 删除不起作用，因为 authenticity_token 没有随请求一起发送

Question

我正在提交一个简单的 ajax 删除请求，如下所示:

#invitation_actions
  =link_to "delete", invitation_path(invitation), :method=>:delete, :remote=>true, :class=>"remove", :confirm=>'Are you sure you?'

请注意，由于包含在所有页面中的 csrf_meta_tag 标记，具有请求的页面包含 authenticity_token。

当我查看日志时，我发现删除请求缺少 authenticity_token:

在 2011-04-22 11:21:21 -0700 开始为 127.0.0.1 删除“/invitations/5” 由 InvitationsController 处理#destroy as 参数:{"id"=>"5"}

现在，如果我从代码中删除“:remote=>:true”，即我进行常规页面加载，删除会起作用，并且我会在日志文件中看到以下内容:

在 2011-04-22 12:52:19 -0700 开始为 127.0.0.1 发布“/invitations/10” 由 InvitationsController#destroy 处理为 HTML 参数:{"authenticity_token"=>"qlT8uX/WGQeOQSmVZzw1v8rFdSTHDRbzNY0zpSc9mV0=", "id"=>"5"}

为什么在 AJAX 情况下是 DELETE 而在非 AJAX 情况下是 POST？为什么 DELETE 不包含 authenticity_token？

感谢您的帮助。

Answer 1

您的问题的第一个可能原因(我能想到的)是，如果您的 UJS 脚本已超过几个月，您可能需要将其更新到最新版本，以便您的应用程序发送真实性带有 AJAX 请求的 token 。

这种行为变化发生在 2011 年 2 月，这意味着所有 Rails UJS 脚本都必须更新:

http://groups.google.com/group/rubyonrails-security/browse_thread/thread/2d95a3cc23e03665

问题的第二部分询问在非 AJAX 情况下用于删除的 HTTP POST 动词。这是因为 Rails 必须模拟 REST 表单处理，因为浏览器不会实现所有 4 个 HTTP 动词，例如GET、POST、PUT 和 DELETE，因为这些动词在 HTML 中无效。

JavaScript (AJAX) 可以做真正的事情，因为它控制发送到 AJAX 端点的 header 。