从浏览器外部向 Rails 服务器发出请求时出现 CSRF 令牌问题

Question

我需要从浏览器外部发出 HTTP POST 请求，但 Rails 后端不接受身份验证（错误 401）。我知道在这种情况下我需要传递 CSRF 令牌，但它不起作用。

当我通过浏览器上的表单发出请求时，它会按预期工作，但是当我尝试从浏览器外部（例如使用curl）模拟相同的请求（在标头和cookie方面）时，身份验证不会不工作。

两个小更改让我在没有浏览器的情况下取得了成功：(1) 关闭用于验证 CSRF 的 protect_from_forgery 或 (2) 使用 GET 而不是 POST > 对于请求。在这两种情况下，传递 cookie 就足够了。这意味着问题肯定与 CSRF 相关。

所以，我的问题是：如何在不使用浏览器的情况下向 Rails 服务器发送受 CSRF 保护的 HTTP POST ？

为了澄清起见，该过程分为三个步骤：

1. 登录：返回一个 cookie 来标识会话；

2. 新：一个 GET 请求，返回稍后使用的 CSRF 令牌（使用 cookie）；

3. 创建：提交我想要创建的信息的 POST 请求（同时使用会话 cookie 和 CSRF 令牌）。

唯一失败的是第三步。

Answer 1

假设您的 CSRF 令牌是基于 cookie 的，那么您用来发出请求的程序需要跟踪 cookie。查看curl 中的--cookie-jar 选项。