Rails 3 protected_from_forgery 无法正常工作？

发布于 2024-11-09 04:57:47 字数 454 浏览 0 评论 0原文

我使用的是 Rails 3.0.2，默认情况下在 application_controller.rb 中有 protect_from_forgery 。

我想触发 InvalidAuthenticityToken。
为此，我已将此 javascript 添加到我的页面中：

$('input[name=authenticity_token]').val('aaa')

使用 Firebug 检查 DOM 我看到 authenticity_token 隐藏字段已正确更新。

如果我提交表单并检查服务器的日志，我会看到相对参数已正确设置为“aaa”。我希望在处理请求时得到一个 InvalidAuthenticityToken ，因为它是正确的！

这怎么可能？

原文

I am using Rails 3.0.2 which has protect_from_forgery by default in application_controller.rb.

I wanted to trigger an InvalidAuthenticityToken.
To do this I have added this javascript to my page:

$('input[name=authenticity_token]').val('aaa')

Checking the DOM with Firebug I see the authenticity_token hidden field is correctly updated.

If I submit the form and check the log from the server I see the relative parameter is correctly set to 'aaa'. I would expect to get a InvalidAuthenticityToken while the request is processed as it was correct!

How is this possible?

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

夜声 2024-11-16 04:57:47

真实性令牌/csrf 行为的文档已过时。在这些情况下，不再引发 InvalidAuthenticityToken 异常，而只是重置您的会话。如果您想以不同的方式（或旧的方式）处理此问题，您可以在控制器上的 handle_unverified_request 中定义您自己的行为。

回复收藏 0 原文

离旧人 2024-11-16 04:57:47

我还相信您必须重置表单所在 html 页面的元标记中的真实性令牌（我假设您在那里有 <%= csrf_meta_tag %> ）。 Rails 检查表单中的令牌（您在上面的 javascript 中更改的令牌）或 html 页面的元标记中的令牌是否与 Rails 预期的真实性令牌匹配，如果其中任何一个匹配，则您的 InvalidAuthenticityToken 将获胜。不被触发....

回复收藏 0 原文

~没有更多了~