当我遇到一些真实性令牌问题时,我正在开发一个新的 Rails 4 应用程序(在 Ruby 2.0.0-p0 上)。
在编写响应 json 的控制器时(使用类respond_to方法),当我尝试使用.create``ActionController::InvalidAuthenticityToken``curl
respond_to
create``ActionController::InvalidAuthenticityToken``curl
我确定我设置-H "Content-Type: application/json"并设置了数据,-d "<my data here>"但仍然没有运气。
-H "Content-Type: application/json"
-d "<my data here>"
我尝试使用 Rails 3.2(在 Ruby 1.9.3 上)编写相同的控制器,但我没有遇到任何真实性令牌问题。我四处搜索,发现 Rails 4 中的真实性令牌发生了一些变化。据我了解,它们不再自动插入表单中了吗?我想这会以某种方式影响非 HTML 内容类型。
有什么办法可以解决这个问题,而不必请求 HTML 表单,获取真实性令牌,然后使用该令牌发出另一个请求?还是我完全错过了一些完全明显的东西?
编辑: 我刚刚尝试使用脚手架在一个新的 Rails 4 应用程序中创建一个新记录,而不做任何更改,我遇到了同样的问题,所以我想这不是我所做的。
我想我刚刚想通了。我更改了(新)默认值
protect_from_forgery with: :exception
至
protect_from_forgery with: :null_session
根据中的评论ApplicationController。
ApplicationController
# Prevent CSRF attacks by raising an exception. # For APIs, you may want to use :null_session instead.
您可以通过查看 的源代码request_forgery_protecton.rb,或者更具体地说,查看以下几行代码来查看差异:
request_forgery_protecton.rb
在Rails 3.2中:
# This is the method that defines the application behavior when a request is found to be unverified. # By default, \Rails resets the session when it finds an unverified request. def handle_unverified_request reset_session end
在Rails 4中:
def handle_unverified_request forgery_protection_strategy.new(self).handle_unverified_request end
这将调用以下内容:
def handle_unverified_request raise ActionController::InvalidAuthenticityToken end
