Varsayılan olarak application_controller.rb dosyasında protect_from_forgery
olan Rails 3.0.2 kullanıyorum.Raylar 3 protect_from_forgery doğru çalışmıyor mu?
InvalidAuthenticityToken
'u tetiklemek istedim.
Sayfamı bu javascript eklemiş Bunun için:
$('input[name=authenticity_token]').val('aaa')
Firebug ile DOM kontrol etme ben authenticity_token
gizli alan doğru güncellenir görüyoruz.
Formu gönderir ve günlüğü sunucudan kontrol edersem göreceli parametrenin doğru şekilde 'aaa' olarak ayarlandığını görürsünüz. İstek doğru olduğunda işlenirken bir InvalidAuthenticityToken
almayı beklerdim!
Bu nasıl olabilir?
pb'nizi çözdüğü için cevabı kabul etmelisiniz. – apneadiving
sıfırlama oturumu CSRF'ye karşı korumak için yeterli değildir. raylar 4'te, varsayılan karşı önlem, daha güvenli olan bir istisnadır. –