問題タブ [authenticity-token]

Railsの初心者を助けてください:)クラスprotect_from_forgeryに属性のない呼び出し（デフォルトで指定）があります。ApplicationController

基本的にコードは次のとおりです。

私がすべきだと思うのは、正しいのない POST リクエストを防ぐ必要があるということですauthenticity_token。しかし、以下のような jQuery でポスト リクエストを送信すると、正常に動作します (データベースで実行される update ステートメントがあります)。

送信されたパラメーターの中にないことがコンソールに表示さauthenticity_tokenれますが、リクエストは引き続き有効と見なされます。何故ですか？

UPD config/environments/development.rb で構成設定が見つかりました

DEV 環境とローカル リクエストにより、これらの jQuery ポスト リクエストは問題ありませんでした。

最近、新しいプロジェクトのためにGoogleの閉鎖に切り替えました。ajax呼び出しのヘッダーに認証トークンを追加するのに問題があります。どうすればいいですか？

私のAjaxスニペット（goog.net.XhrIoクラスを使用）：

バックエンドでレールを使用する。

アップデート：

ログ：

これが取引です。

私たちのアプリケーションは機能しており、ライターがWebサイトのコンテンツを送信するために使用しています。問題は、サイト内のリソースのフォームを送信した後、ライターがエラーを受け取ることがあることです。本番ログを確認した後のエラーは、古き良きInvalidAuthenticityTokenでした。

問題は、トークンを変更せず、フォームを無効にせず、エディターに書き込んで[送信]をクリックする以外に何もしないことです。

エラーは完全にランダムであるように見えますが、発生することもあれば発生しないこともあります：/アイテムの編集または作成時に発生することだけがわかっているので、POSTまたはPUTリクエストのいずれかですが、問題は1つではないということです。アプリケーションの特定の領域では、それは最終的にフォーム全体で時々発生しました。

私たちの環境は、アプリを実行している20匹の雑種でmongrel_clusterにサービスを提供するHAProxyです。Railsのバージョンは2.3.8です

これは、異なる雑種のセッションで問題になる可能性がありますか？そうでない場合は、このランダムなエラーを防ぐために何ができるでしょうか。これにより、ライターはテキストの編集に多くの時間を費やし、エラーが原因でテキストを失うことがあります。

どんな助けでも本当にありがたいです。

Ruby on Rails 3 RCで簡単なWebアプリケーションを作成しているだけで、偽造の保護に少し困惑しています。Webインターフェイスを用意し、iPhoneアプリからのXMLAPI呼び出しを許可する予定です。現在、RESTリクエストジェネレーターでこれをテストしていますが、InvalidAuthenticityTokenエラーが発生しています。

まず、これらはXMLまたはJSONではないリクエストにのみ適用されると思いました。次に、ユーザー固有のAPIキーをXMLリクエストに添付して、他の手段で偽造保護を実現できるようにします（完全に安全というわけではありませんが、開発は適切に開始されています）。

オンボードシステムを使用する前に、デフォルトのトークンチェッカーをオーバーライドして自分のAPIトークンシステムを介して検証するためのXML / JSONリクエストに対するこの保護を防ぐためのポインターを誰かが持っていますか？

乾杯デイブフィンスター

これを行う方法を説明する多数の投稿を見つけました。これらはすべて、適切な環境構成ファイルに次のように記述します。

ただし、これを行うと、サインインしようとすると(デバイスを使用しています)、次のエラーで失敗します:

他の人が同じ問題を投稿しているのを見ます (セッション [:ドメイン] を設定するためのアドバイスを提供しているさまざまなブログのコメント セクションに)。それ。

何か案は？

私は API のバックエンド Rails 開発者です。API は、iPhone クライアントからの画像のアップロードを受け入れる必要があります。

私の質問は、アップロードを許可し、InvalidAuthenticityToken の問題によってトラップされないようにするために、POST 全体の Content-Type がどうあるべきかということです。(あるケースでは) 3 つの画像ファイルと通常のテキスト POST パラメータがあるため、マルチパート タイプである必要があります。私たちは iPhone コードを制御しており、サーバーからトークンが要求されてから POST で送信されるという 2 段階のようなことはしたくありません。

ありがとう、
クレイグ・クック

I am using Ruby on Rails 3 and I would like to know how to handle the AuthenticityToken value using a HTTP POST request from a RoR application to another RoR application. In this case I aim to submit a sign in form and return the user information in JSON format if he\she provided correct email and password values.

I have a RoR application at this URL

and another RoR application at this URL

If I make an HTTP POST request from the application pjtname.com to the application users.pjtname.com like this (in this example I use the Typhoeus gem)

I get this response

So, how to handle the AuthenticityToken value in a safe approach\mode? I would like to know in both when applications are located on the same server and when they aren't.

At http://users.pjtname.com/authentications/new I have the following form for signing in users:

In the authentications_controller.rb I have

In routes.rb I have

UPDATE for the @idlefingers answer

REQUEST

RESPONSE

REQUEST

RESPONSE

Web ページにログインしてファイルをダウンロードするためのカスタム プログラム (またはスクリプト) を作成しようとしています。ログイン ページには、2 つのテキスト フィールド (ユーザー名とパスワード) と隠しフィールド "authenticity_token" を含むフォームがあります。認証トークンについて読みました。

curl を使用してカスタム bash スクリプトを試しましたが、うまくいきません。誰でも私のコードを見て、何が問題なのか教えてもらえますか?

ブラウザを使用してWebページにログインすると、ログが成功するとサーバーは次のページにリダイレクトしますが、スクリプトを使用すると、サーバーはヘッダーが「302リダイレクト」ではなく「200 OK」であるパケットで応答します(私はパケットをキャプチャするためにwiresharkを使用しています）。したがって、認証が機能していないと思います。

何か提案はありますか？