ActionControll :: UnlimitedAuthenticityToken

Dưới đây là một lỗi, do một biểu mẫu trong ứng dụng Rails của tôi gây ra:

Processing UsersController#update (for **ip** at 2010-07-29 10:52:27) [PUT]
  Parameters: {"commit"=>"Update", "action"=>"update", "_method"=>"put", "authenticity_token"=>"ysiDvO5s7qhJQrnlSR2+f8jF1gxdB7T9I2ydxpRlSSk=", **more parameters**}

ActionController::InvalidAuthenticityToken (ActionController::InvalidAuthenticityToken):

Điều này xảy ra cho mọi người không getyêu cầu và, như bạn thấy, authenticity_tokenlà có.

Tôi có cùng một vấn đề nhưng với các trang được lưu vào bộ nhớ cache. Các trang được đệm với mã thông báo xác thực cũ và tất cả các hành động bằng cách sử dụng phương thức post / put / xóa trong trường hợp được công nhận là cố gắng giả mạo. Lỗi (422 Thực thể không thể xử lý) đã được trả lại cho người dùng.

Giải pháp cho Rails 3:
Thêm:

 skip_before_filter :verify_authenticity_token  

hoặc như "sagivo" đã chỉ ra trong Rails 4 add:

 skip_before_action :verify_authenticity_token

Trên các trang làm bộ nhớ đệm.

Như @toobulkeh nhận xét đây không phải là một lỗ hổng trên :index, :shownhững hành động, nhưng hãy cẩn thận sử dụng này trên :put, :postcác hành động.

Ví dụ:

 caches_page :index, :show  
 skip_before_filter :verify_authenticity_token, :only => [:index, :show]

Tham khảo: http://api.rubyonrails.org/groupes/ActionControll/RequestForgeryProtection/ClassMethods.html

Lưu ý được thêm bởi barlop- Rails 4.2 không dùng nữa Skip_b Before_filter có lợi cho Skip_b Before_action https://guides.rubyonrails.org/4_2_release_notes.html "Họ phương thức * _filter đã bị loại bỏ khỏi tài liệu. gia đình phương pháp "

Đối với Rails 6 (như "collimarco" đã chỉ ra), bạn có thể sử dụng skip_forgery_protectionvà an toàn khi sử dụng nó cho API REST không sử dụng dữ liệu phiên.

Đối với tôi nguyên nhân của vấn đề này trong Rails 4 là một sự thiếu sót,

<%= csrf_meta_tags %>

Dòng trong bố trí ứng dụng chính của tôi. Tôi đã vô tình xóa nó khi tôi viết lại bố cục của mình.

Nếu điều này không có trong bố cục chính, bạn sẽ cần nó trong bất kỳ trang nào bạn muốn có mã thông báo CSRF.

Có một số nguyên nhân gây ra lỗi này, (liên quan đến Rails 4).

1. Kiểm tra <%= csrf_meta_tags %>hiện diện trong bố cục trang

2. kiểm tra mã thông báo xác thực đang được gửi bằng các cuộc gọi AJAX nếu sử dụng trình form_fortrợ giúp với remote: truetùy chọn. Nếu không, bạn có thể bao gồm dòng <%= hidden_field_tag :authenticity_token, form_authenticity_token %>với khối biểu mẫu.

3. Nếu yêu cầu đang được gửi từ trang được lưu trong bộ nhớ cache, hãy sử dụng bộ nhớ đệm phân đoạn để loại trừ một phần của trang gửi yêu cầu, button_tov.v. nếu không, mã thông báo sẽ bị cũ / không hợp lệ.

Tôi sẽ miễn cưỡng vô hiệu hóa bảo vệ csrf ...

Chỉ cần thêm các authenticity_tokenhình thức cố định nó cho tôi.

<%= hidden_field_tag :authenticity_token, form_authenticity_token %>

Mã thông báo xác thực là một giá trị ngẫu nhiên được tạo trong chế độ xem của bạn để chứng minh yêu cầu được gửi từ một biểu mẫu trên trang web của bạn chứ không phải nơi nào khác. Điều này bảo vệ chống lại các cuộc tấn công CSRF:

http://en.wikipedia.org/wiki/Cross-site_Vquest_forgery

Kiểm tra xem khách hàng / IP đó là ai, có vẻ như họ đang sử dụng trang web của bạn mà không tải quan điểm của bạn.

Nếu bạn cần gỡ lỗi thêm, câu hỏi này là một nơi tốt để bắt đầu: Tìm hiểu mã thông báo xác thực Rails

Chỉnh sửa để giải thích: Điều đó có nghĩa là họ đang kêu gọi hành động để xử lý biểu mẫu của bạn mà không bao giờ hiển thị biểu mẫu của bạn trên trang web của bạn. Điều này có thể độc hại (giả sử đăng bình luận spam) hoặc nó có thể cho thấy khách hàng đang cố gắng sử dụng API dịch vụ web của bạn trực tiếp. Bạn là người duy nhất có thể trả lời rằng theo bản chất của sản phẩm và phân tích các yêu cầu của bạn.

ActionController::InvalidAuthenticityTokencũng có thể được gây ra bởi một proxy ngược được cấu hình sai. Đây là trường hợp nếu trong theo dõi ngăn xếp, bạn nhận được một dòng trông như thế nào Request origin does not match request base_url.

Khi sử dụng proxy ngược (chẳng hạn như nginx) làm người nhận cho yêu cầu HTTPS và truyền yêu cầu không được mã hóa đến phụ trợ (như ứng dụng Rails), phụ trợ (cụ thể hơn: Rack) mong muốn một số tiêu đề có thêm thông tin về yêu cầu khách hàng ban đầu để có thể áp dụng các nhiệm vụ xử lý và các biện pháp bảo mật khác nhau.

Thông tin chi tiết có sẵn tại đây: https://github.com/rails/rails/issues/22965 .

TL; DR: giải pháp là thêm một số tiêu đề:

upstream myapp {
  server              unix:///path/to/puma.sock;
}

location / {
  proxy_pass        http://myapp;
  proxy_set_header  Host $host;
  proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
  proxy_set_header  X-Forwarded-Proto $scheme;
  proxy_set_header  X-Forwarded-Ssl on; # Optional
  proxy_set_header  X-Forwarded-Port $server_port;
  proxy_set_header  X-Forwarded-Host $host;
}

quá muộn để trả lời nhưng tôi tìm thấy giải pháp.

Khi bạn xác định bạn sở hữu biểu mẫu html thì bạn bỏ lỡ chuỗi mã thông báo xác thực sẽ được gửi đến bộ điều khiển vì lý do bảo mật. Nhưng khi bạn sử dụng trình trợ giúp biểu mẫu rails để tạo một biểu mẫu, bạn sẽ nhận được một cái gì đó như sau

<form accept-charset="UTF-8" action="/login/signin" method="post">
  <div style="display:none">
    <input name="utf8" type="hidden" value="&#x2713;">
    <input name="authenticity_token" type="hidden" 
      value="x37DrAAwyIIb7s+w2+AdoCR8cAJIpQhIetKRrPgG5VA=">
    .
    .
    .
  </div>
</form>

Vì vậy, giải pháp cho vấn đề này là thêm trường xác thực_token hoặc sử dụng trình trợ giúp biểu mẫu đường ray thay vì xóa, hạ cấp hoặc nâng cấp đường ray.

Nếu bạn đã thực hiện một rake rails:updatehoặc gần đây đã thay đổi config/initializers/session_store.rb, đây có thể là một triệu chứng của cookie cũ trong trình duyệt. Hy vọng rằng điều này được thực hiện trong dev / test (nó là dành cho tôi) và bạn chỉ có thể xóa tất cả các cookie trình duyệt liên quan đến tên miền được đề cập.

Nếu đây là sản phẩm và bạn đã thay đổi key, hãy xem xét thay đổi lại để sử dụng cookie cũ (<- chỉ là suy đoán).

Tôi đã có vấn đề này với các cuộc gọi javascript. Tôi đã sửa nó chỉ bằng cách yêu cầu jquery_ujs vào tệp application.js.

Chúng tôi có cùng một vấn đề, nhưng nhận thấy rằng nó chỉ dành cho các yêu cầu sử dụng http: // chứ không phải với https: //. Nguyên nhân là secure: truedo session_store:

Rails.application.config.session_store(
  :cookie_store,
  key: '_foo_session',
  domain: '.example.com',
  secure: true
)

Đã sửa lỗi bằng cách sử dụng HTTPS ~ ở mọi nơi :)

Đối với đường ray 5, tốt hơn là thêm protect_from_forgery prepend: truevào để bỏ quaverify_authentication_token

Thêm vào

//= require rails-ujs 

trong

\app\assets\javascripts\application.js

Tôi gặp vấn đề này và lý do là vì tôi đã sao chép và dán bộ điều khiển vào ứng dụng của mình. Tôi cần phải thay đổi ApplicationControllerthànhApplicationController::Base

Tôi đã có vấn đề tương tự trên localhost. Tôi đã thay đổi tên miền cho ứng dụng, nhưng trong URL và tệp lưu trữ vẫn có tên miền cũ. Đã cập nhật dấu trang trình duyệt và tệp lưu trữ của tôi để sử dụng tên miền mới và bây giờ mọi thứ đều hoạt động tốt.

Có thể bạn đã thiết lập NGINX cho HTTPS nhưng chứng chỉ của bạn không hợp lệ? Tôi đã có một vấn đề tương tự trong quá khứ và chuyển hướng từ http sang https đã giải quyết vấn đề

Tôi đã kiểm tra <% = csrf_meta_tags%> có mặt và xóa cookie trong trình duyệt làm việc cho tôi.

Theo khuyến nghị của Ngọn hải đăng Chrome để tải ứng dụng nhanh hơn, tôi đã đồng bộ hóa Javascript của mình:

views/layout/application.html.erb

<%= javascript_include_tag 'application', 'data-turbolinks-track' => 'reload', async: true %>

Điều này đã phá vỡ mọi thứ và nhận được lỗi Token đó cho các biểu mẫu từ xa của tôi. Loại bỏ async: truecác vấn đề cố định.

Câu trả lời này cụ thể hơn nhiều đối với Ruby on Rails, nhưng hy vọng nó sẽ giúp được ai đó.

Bạn cần bao gồm mã thông báo CSRF với mọi yêu cầu không NHẬN. Nếu bạn đã quen sử dụng JQuery, Rails có một thư viện trợ giúp được gọi là jquery-ujsxây dựng trên nó và thêm một số chức năng ẩn. Một trong những điều nó làm là tự động bao gồm mã thông báo CSRF trong mọi ajaxyêu cầu. Xem ở đây .

Nếu bạn rời khỏi nó như tôi đã làm, bạn có thể thấy mình có lỗi. Bạn chỉ có thể gửi mã thông báo theo cách thủ công hoặc sử dụng thư viện khác để giúp cạo mã thông báo khỏi DOM. Xem bài này để biết thêm chi tiết.

Trong rails 5, chúng ta cần thêm 2 dòng mã

    skip_before_action :verify_authenticity_token
    protect_from_forgery prepend: true, with: :exception

Cài đặt

gem 'remotipart' 

có thể giúp đỡ

Vấn đề được giải quyết bằng cách hạ cấp xuống 2.3.5 từ 2.3.8. (cũng như vấn đề khét tiếng 'Bạn đang được chuyển hướng.')