从 Rails 2.3.4 升级到 2.3.14，现在测试失败（令人震惊，我知道）

Question

问题似乎出在所有执行 POST、PUT、DELETE 请求的测试上。这些请求似乎没有附加 csrf 令牌。因此我被重定向到/login。当然，对于 GET 请求来说，这完全没问题。

值得一提的是，实际的浏览器交互效果很好。所以它在开发环境中有效，但在测试环境中无效。

还有其他人看过这个吗？

Answer 1

这可能是由于 csrf 安全漏洞已修复。如果您尚未添加 csrf_meta_tags 并更新您的 jquery-ujs 文件，您可能还需要执行此操作才能进行升级。但如果它在开发模式下工作，情况可能并非如此。这是关于该主题的更详细的博客文章。 http://jasoncodes.com/posts/rails-csrf-vulnerability

Answer 2

好的，问题出在 protect_from_forgery 上。由于某些我未知的原因 before_filter :login_required 触发得太早。我不知道具体细节或如何“正确”解决此问题。但这样做可以让我最终运行我的测试：

protect_from_forgery unless Rails.env.test?