Raylar 3 protect_from_forgery doğru çalışmıyor mu?

Varsayılan olarak application_controller.rb dosyasında protect_from_forgery olan Rails 3.0.2 kullanıyorum.Raylar 3 protect_from_forgery doğru çalışmıyor mu?

InvalidAuthenticityToken'u tetiklemek istedim.
Sayfamı bu javascript eklemiş Bunun için:

$('input[name=authenticity_token]').val('aaa')

Firebug ile DOM kontrol etme ben authenticity_token gizli alan doğru güncellenir görüyoruz.

Formu gönderir ve günlüğü sunucudan kontrol edersem göreceli parametrenin doğru şekilde 'aaa' olarak ayarlandığını görürsünüz. İstek doğru olduğunda işlenirken bir InvalidAuthenticityToken almayı beklerdim!

Bu nasıl olabilir?

kaynak

2011-05-22 Diego

pb'nizi çözdüğü için cevabı kabul etmelisiniz. – apneadiving

sıfırlama oturumu CSRF'ye karşı korumak için yeterli değildir. raylar 4'te, varsayılan karşı önlem, daha güvenli olan bir istisnadır. –

Özgünlük belirteci/csrf davranışının belgeleri güncel değil. Bu durumlarda artık InvalidAuthenticityToken istisnası atılmıyor, bunun yerine oturumunuz sıfırlanıyor. Bunu farklı bir şekilde (veya eski yolla) işlemek isterseniz, kendi davranışınızı denetleyicinizde handle_unverified_request olarak tanımlayabilirsiniz.

kaynak

2011-05-23 04:33:12 jdeseno

Çok teşekkürler! Ben yaptım ve mükemmel çalışıyor! – Diego

Ayrıca, formunuzun içinde bulunduğu html sayfasının meta etiketinde bulunan Orijinallik belirtecini sıfırlamanız gerektiğine de inanıyorum (orada <% = csrf_meta_tag%> olduğunu varsayarak). Rails, formdaki simgeden (yukarıdaki javascript'inizde değiştirdiğinizden) veya html sayfasının meta etiketindeki simgenin Rails'in beklenen özgünlük belirteciyle eşleşip eşleşmediğini kontrol eder ve bunlardan herhangi biri eşleşirse InvalidAuthenticityToken kazanır ' t tetiklenir ....

kaynak

2012-04-02 23:32:15 eriklinde

Raylar 3 protect_from_forgery doğru çalışmıyor mu?

cevap

İlgili konular