ruby-on-rails-3 - 回形针 gem 触发 CSRF token 验证问题-6ren

ruby-on-rails-3 - 回形针 gem 触发 CSRF token 验证问题

转载作者：行者123 更新时间：2023-12-04 02:28:21

26

4

我有一个使用回形针 gem (v 3.4.0) 的 Rails 3.1 应用程序。简而言之。我有一个故事模型和一个后期模型。一个故事可以有很多帖子。

#story.rb

class Story < ActiveRecord::Base

  attr_accessible :title, :user_id, :username, :posts_attributes

  belongs_to    :user
  has_many      :posts, :dependent  =>  :destroy,
                      :order => "created_at DESC"

  accepts_nested_attributes_for :posts, :reject_if => lambda { |t| t['contents'].nil? }

end

#post.rb

class Post < ActiveRecord::Base

  attr_accessible :contents, :photo, :dimensions

  belongs_to    :story, :touch => true
  belongs_to    :user, :touch => true

  has_attached_file :photo, 
                    :styles => { 
                      :medium => { :geometry => "400x400>" },
                      :thumb => { :geometry => "100x100>" },
                    },
                    :processors => [:thumbnail],
                    :storage => :s3,
                    :s3_credentials => "#{Rails.root.to_s}/config/s3.yml",
                    :path => "/:style/:id/:filename"


  before_save   :extract_dimensions

  serialize   :dimensions

  validates   :contents,  :presence   => true,
                      :length         => {  :maximum => 399,
                                        :minimum => 5 } 
  validates   :user_id,   :presence => true

  validates_attachment_content_type :photo, 
    :content_type => ['image/jpeg', 'image/png', 'image/gif', 'image/jpg'],
    :message => "Sorry, we don't support that type of image format"

end

如您所见，帖子可能带有照片附件。我使用回形针来管理这些附件。

我生成了使用 javascript/jquery 在客户端上动态发布这些帖子的表单。我的问题是这个。 . .如果帖子不包含照片附件，则一切正常。但是，如果帖子有照片附件，我会收到以下错误消息并且帖子没有发布:

WARNING: Can't verify CSRF token authenticity
  User Load (0.5ms)  SELECT "users".* FROM "users" WHERE "users"."id" = 61 LIMIT 1
   (0.3ms)  BEGIN
   (0.2ms)  COMMIT
Completed 401 Unauthorized in 238ms

结果，我的 session 数据被破坏了，我什至看不到 Firebug 的请求 header 。放置请求根本不会出现在 Firebug 中。

现在，毫不奇怪，我可以通过 PostController 中的以下内容解决这个问题:

skip_before_filter :verify_authenticity_token, :only => [:create]

但我不想放弃这种安全感。我还尝试通过 js/jquery 将 CSRF header 添加到我的表单中:

jQuery.ajaxSetup({ 
  beforeSend: function(xhr) {
    xhr.setRequestHeader('X-CSRF-Token', $('meta[name="csrf-          
            token"]').attr('content'));
  }
});

但这并不能解决问题，而且正如我上面所说的，我什至看不到请求头数据来查看头。

任何人都可以想出回形针引发问题的原因吗？

最佳答案

我知道自从我第一次发布上述问题以来已经有一段时间了，但人们仍然在他们的搜索中找到它，所以我想我会用答案来更新。

我上面讨论的问题与Paperclip无关。提交表单时没有使用 csrf token ，因为我使用 remotipart.js 来处理具有文件附件的表单的提交。 Remotipart 通过将表单数据复制到 i-frame 中来启用类似 ajax 的表单提交，然后在您的站点保持事件状态时进行正常(即非 ajax)提交。见 this article有关通过 i-frame 上传 ajax 文件的更详细说明。

在之前版本的 remotipart 中，csrf token 没有复制到 i-frame 提交的表单中。支持remotipart的好人现在已经解决了这个缺点。您可以找到修复 here

关于ruby-on-rails-3 - 回形针 gem 触发 CSRF token 验证问题，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/15261169/

26

4

0

文章推荐： sbt 发布的工件中的 scala-library.jar 版本

文章推荐： Solr 分组空字段

文章推荐： Codeigniter:$this->db->like() 的奇怪行为

文章推荐： c# - 获取通用类型的 Type 对象(不存在该对象的实例)

jquery - 触发 ('click' ) 与触发 ('click' )[0]
这个问题已经有答案了: jQuery trigger click vs click ()? (3 个回答) 已关闭 5 年前。我无法区分 trigger('click')与 trigger('cli
asp.net - IHttpModule.BeginRequest 触发 2X，Application_BeginRequest 触发 1X
我正在运行 VS 2008 和 .NET 3.5 SP1。我想在 HttpModule 中实现命中跟踪在我的 ASP.NET 应用程序中。很简单，我想。然而，BeginRequest我的事件 Htt
mysql - 触发
这是一段代码，我收到以下错误 #1064 - You have an error in your SQL syntax; check the manual that corresponds to yo
javascript - 触发 'dummy'鼠标滚轮事件
有没有办法用任意增量触发滚轮事件。就像 jQuery 对“点击”所做的那样: $('#selector').trigger('click'); 我需要类似的东西，只需一个滚轮即可: $('#selec
sql - SQL-触发 “not in”
我正在尝试在配音数据库中触发时间。我想检查一下在不出现角色的电影配音中不能对角色进行配音。这是PDM: 和CDM 我是SQL的初学者，但我知道表“DUBBES”中应该有一些触发器。我试图做这样的事情，
jquery - 触发 .on() 创建的事件
这个问题已经有答案了: jquery programmatically click on new dom element (3 个回答) 已关闭 6 年前。我有一个 jQuery 事件定义如下: $
jquery - 子菜单点击事件不起作用/触发
主菜单的点击代码适用于类更改，但不适用于子菜单...当单击食物或鞋子等子菜单项时，它不会触发警报命令...事实上，悬停非常适合子菜单但不是活跃的 HTML
jquery - 触发()后未给出鼠标位置
问题非常简单: $('#btn1').click(function(event){ alert( "pageX: " + event.pageX + "\npa
java - 触发@Scheduled方法
我使用 Spring 的调度程序 (@EnableScheduling) 并具有以下 @Scheduled 方法，该方法每分钟调用一次: @Component public class Schedul
mysql - 触发，不插入
错误 SQL 查询:文档 CREATE TRIGGER `triggers_div` AFTER INSERT ON `produits` FOR EACH ROW BEGIN INSERT INTO
MySQL 触发 IF 条件
我想在插入另一个表时填充表中的一些列值，并为特定列设置条件。我使用触发器: CREATE TRIGGER inserttrigger AFTER INSERT ON table1 FOR EACH R
MySQL 触发 If 语句并与查询进行比较
我可以在 5.6 MySQL 环境中使用一些关于触发器的指导。我想创建一个触发器，如果发现具有相同速度的电脑的价格较低，则该触发器会停止更新。架构是产品(制造商、型号、类型)PC(型号、速度、内
postgresql - 触发，更新字段更新时间戳
背景:我们有一个 completed_flag，默认为 0，当有人完成调查时更新为 1。我想记录这次更新发生的时间戳在编写了这个触发器/函数以在标志从 0 触发到 1 时更新时间戳后，我怀疑我这样做
mysql - 多行插入时触发器不工作/触发
数据库中有两个表 KistStatus和 LastKistStatus .后者将保存 KistStatus 的所有“最新”值。 . KistStatus有大约 174.000 条记录，LastKist
iPhone - 触发 APNS
我正在开发一个使用 APNS 的 iPhone 应用程序。我很清楚实现 APNS、创 build 备 token 的过程，等等等等……我不知道如何通过 Web 服务从提供商端触发和启动 APNS。任何
页面加载时 JavaScript 触发
我有这个 javascript，当数量更改时会触发 update_cart... jQuery('div.woocommerce').on('change', '.qty', function
javascript - 单击事件未使用 ON 触发？
当我单击任何按钮时，click 事件不会被触发。艰难的是，我使用 $("div").on("click", "button", function () { 让它工作，但我想看到它使用 .class 工
Android:触发 onCreateOptionsMenu
如何在我的代码中触发 Android onCreateOptionsMenu 函数，即无需用户单击手机上的选项菜单按钮？最佳答案 Activity.openOptionsMenu(); 就可以了关
Android - 触发 adjustResize
我将表单包装在中然后我设置 list android:windowSoftInputMode="adjustResize" (默认 react native )。现在，当我用手指触摸事件手动聚焦一
Android TextWatcher 触发
我有一个 Android 编程问题。使用下面的代码我想验证一个字符串匹配。它验证正常，但 LogCat 显示 TextWatcher 方法在每次击键时触发两次，我不明白为什么。我希望每次击键只触发一次

首页

博学

6Ren·AI

商城

ruby-on-rails-3 - 回形针 gem 触发 CSRF token 验证问题