使用 iframe 时 safari 中的 ActionController::InvalidAuthenticityToken 异常

Question

当我在 safari 中从 iframe 发布表单时，它给出了 Invalid Authenticity Token 异常。如果我尝试不使用 iframe，那么效果很好。

为什么会发生这种情况？我该如何解决这个问题？

Answer 1

真实性令牌是 Rails 用于保护用户免受 CSRF 攻击的一种机制。这是一个很好的解释，取自了解 Rails 真实性令牌

当用户查看要创建、更新或销毁的表单时
一个资源，rails 应用程序将创建一个随机的authenticity_token，
将此令牌存储在会话中，并将其放置在
形式。当用户提交表单时，rails 会查找
authenticity_token，将其与会话中存储的进行比较，并且
如果它们匹配，则允许继续请求。

所以基本上，对于任何会修改模型的操作，rails 都希望验证它是否是由您发起的更改。

Rails 通过使用如下 html 标签将该秘密真实性令牌添加到表单中来实现这一点（通过使用 form_for 或 form_tag 帮助程序）：

回到你的问题：我从未使用过 iframe，所以我不确定发生了什么，但是我的猜测是您的 iframe 表单没有传递 authencity_token。如果是这种情况，解决方案很简单，只需添加一个像上面这样的隐藏输入，并使用 form_authenticity_token 方法来设置其值。