无法通过 Ajax 将表单发布到不同的子域（警告：无法验证 CSRF 令牌的真实性）

Question

我尝试将远程表单从表单之一（domain.com）发送到不同的子域（example.domain.com），但我不断收到警告警告：无法验证 CSRF 令牌真实性 在日志中，chrome 中的检查器告诉我请求的状态是 (canceled)，类型为 application/x-www-form-urlencoded。

这是形式： button_to "Follow", follow_users_url(subdomain: post.user_username_slug), remote: true

当我删除 remote: true 时，我得到了我想要的结果。另外，当尝试在操作的同一子域（example.domain.com）中使用相同的表单时，我得到了正确的结果。

我找到了一种在所有子域中共享 cookie 的方法（session_store.rb 中的 domain: :all），但我找不到在 Ajax 中共享令牌的方法请求。

我正在使用 Rails 3.1.3、Ruby 1.9.3 和 jQuery 1.7.1。

任何人都可以帮助我吗？

编辑：

该问题似乎与CORS有关。现在我正在尝试找到最小摩擦解决方案以使此（异步）跨子域请求正常工作。

Answer 1

在您的 POST 参数中，包含字段“authenticity_token”以及助手 *form_authenticity_token* 返回的值。 （与cookie无关）。

编辑 我认为您遇到了同源策略，该策略阻止域 A 中的 javascript 与域 B 进行通信（也适用于子域）。有一个名为 CORS 的“覆盖”，您正在交谈的域必须实现它。

因此，假设您可以控制域 A 和 B，则可以解决此限制。这解释了为什么“正常”请求有效，而“:remote => true”请求无效。 （CSRF 令牌错误可能不准确。）这是一篇有关在 Rails 中设置 CORS 的文章（域 B，在我的示例中）。

Answer 2

您可以将两个控制器中的真实性令牌设置为相同

我认为它是

protected_from_forger :secret => 'long_secret_string'

如果两个控制器使用相同的令牌，您应该能够跨子域或其他站点发布。不过，您确实打开了一些跨站点脚本漏洞