Aşağıda, Rails uygulamamdaki bir formun neden olduğu bir hata var:
Processing UsersController#update (for **ip** at 2010-07-29 10:52:27) [PUT]
Parameters: {"commit"=>"Update", "action"=>"update", "_method"=>"put", "authenticity_token"=>"ysiDvO5s7qhJQrnlSR2+f8jF1gxdB7T9I2ydxpRlSSk=", **more parameters**}
ActionController::InvalidAuthenticityToken (ActionController::InvalidAuthenticityToken):Bu her isteksizlik için olur getve gördüğünüz gibi authenticity_tokenoradadır.
Yanıtlar:
Aynı sorunu yaşadım ama sayfa önbelleğe alınmış sayfalarda. Sayfalar eski bir kimlik doğrulama jetonu ve sahtekarlık girişimi olarak tanındığında post / put / delete yöntemlerini kullanarak tüm eylemlerle arabelleğe alındı. Hata (422 İşlenemeyen Varlık) kullanıcıya geri döndü.
Rails 3 için çözüm:
Ekle:
skip_before_filter :verify_authenticity_token veya Rails 4'te belirtildiği gibi "sagivo" olarak ekleyin:
skip_before_action :verify_authenticity_tokenÖnbellekleme yapan sayfalarda.
@Toobulkeh yorumladı gibi bu konuda bir güvenlik açığı değil :index, :showeylemler, ancak bu kullanarak dikkat :put, :posteylemler.
Örneğin:
caches_page :index, :show
skip_before_filter :verify_authenticity_token, :only => [:index, :show]Referans: http://api.rubyonrails.org/classes/ActionController/RequestForgeryProtection/ClassMethods.html
Barlop- Rails 4.2 tarafından eklenen not, skip_before_action lehine skip_before_filter kullanımdan kaldırıldı https://guides.rubyonrails.org/4_2_release_notes.html "* _filter yöntem ailesi dokümantasyondan kaldırıldı. * _Action lehine kullanımı önerilmez yöntem ailesi "
İçin Raylar 6 kullanabilirsiniz ( "collimarco" belirttiği gibi) skip_forgery_protectionve oturum verileri kullanmayan bir REST API için kullanmak güvenli olduğunu.
skip_before_action :verify_authenticity_token
:index, :showeylemlerdeki bir güvenlik açığı değildir . Ama bunu :put, :posteyleme geçirmeye karşı dikkatli olun !
Benim için Rails 4 altındaki bu sorunun nedeni eksikti,
<%= csrf_meta_tags %>Ana uygulama düzenimdeki satır. Düzenimi yeniden yazdığımda yanlışlıkla sildim.
Bu ana düzende değilse, bir CSRF jetonu olmasını istediğiniz herhangi bir sayfada buna ihtiyacınız olacaktır.
Bu hatanın çeşitli nedenleri vardır (Rails 4 ile ilgili).
1. <%= csrf_meta_tags %>Sayfa mizanpajında mevcut olup
olmadığını kontrol edin 2. Option form_forile yardımcı kullanıyorsanız AJAX çağrıları ile özgünlük belirtecinin gönderildiğini kontrol edin .
3. Önbellekteki sayfadan istek gönderiliyorsa, sayfanın istek gönderen kısmını hariç tutmak için parça önbelleğe alma özelliğini kullanın, aksi takdirde simge eski / geçersiz olur.remote: true<%= hidden_field_tag :authenticity_token, form_authenticity_token %>button_to
CSRF korumasını geçersiz kılmak konusunda isteksiz olurdum ...
Sadece authenticity_tokenformu eklemek benim için düzeltti.
<%= hidden_field_tag :authenticity_token, form_authenticity_token %>Orijinallik belirteci, isteğinizin başka bir yerde değil, sitenizdeki bir formdan gönderildiğini kanıtlamak için görünümünüzde oluşturulan rastgele bir değerdir. Bu CSRF saldırılarına karşı koruma sağlar:
http://en.wikipedia.org/wiki/Cross-site_request_forgery
Bu istemcinin / IP'nin kim olduğunu kontrol edin, görünümlerinizi yüklemeden sitenizi kullanıyor gibi görünüyor.
Daha fazla hata ayıklamanız gerekirse, bu soru başlamak için iyi bir yerdir: Rails Authenticity Token'ı Anlama
Açıklamak için düzenlendi: Bu, formunuzu web sitenizde hiç görüntülemeden form gönderiminizi işleme koyma eylemini çağırdıkları anlamına gelir. Bu kötü amaçlı olabilir (spam yorum gönderme) veya web hizmeti API'nızı doğrudan kullanmaya çalışan bir müşterinin belirtisi olabilir. Bunu, ürününüzün doğası gereği ve isteklerinizi analiz ederek cevaplayabilecek tek kişisiniz.
ActionController::InvalidAuthenticityTokenyanlış yapılandırılmış bir ters proxy'den de kaynaklanabilir. Yığın izlemesinde, benzer bir çizgi alırsanız durum budur Request origin does not match request base_url.
HTTPS isteği için alıcı olarak bir ters proxy (nginx gibi) kullanıldığında ve şifrelenmemiş isteği arka uca (Rails uygulaması gibi) iletirken, arka uç (daha spesifik olarak: Raf) bazı üstbilgileri orijinal istemci isteği hakkında daha fazla bilgi ile bekler çeşitli işleme görevlerini ve güvenlik önlemlerini uygulayabilmek için.
Daha fazla ayrıntıyı burada bulabilirsiniz: https://github.com/rails/rails/issues/22965 .
TL; DR: çözüm bazı başlıklar eklemektir:
upstream myapp {
server unix:///path/to/puma.sock;
}
location / {
proxy_pass http://myapp;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Ssl on; # Optional
proxy_set_header X-Forwarded-Port $server_port;
proxy_set_header X-Forwarded-Host $host;
}cevap vermek için çok geç ama çözümü buldum.
Kendi html formunuzu tanımladığınızda, güvenlik nedeniyle denetleyiciye gönderilmesi gereken kimlik doğrulama belirteci dizesini kaçırırsınız. Ancak bir form oluşturmak için ray form yardımcısı kullandığınızda aşağıdaki gibi bir şey elde edersiniz
<form accept-charset="UTF-8" action="/login/signin" method="post">
<div style="display:none">
<input name="utf8" type="hidden" value="✓">
<input name="authenticity_token" type="hidden"
value="x37DrAAwyIIb7s+w2+AdoCR8cAJIpQhIetKRrPgG5VA=">
.
.
.
</div>
</form>Bu nedenle, sorunun çözümü, authenticity_token alanı eklemek veya rayları kaldırmak, düşürmek veya yükseltmek yerine raylar form yardımcıları kullanmaktır.
Birinizi rake rails:updateveya yakın zamanda başka bir şeyi değiştirdiyseniz config/initializers/session_store.rb, bu tarayıcıdaki eski çerezlerin bir belirtisi olabilir. Umarım bu dev / test (benim için) yapılır ve söz konusu alanla ilgili tüm tarayıcı çerezlerini temizleyebilirsiniz.
Bu üretimde ise ve siz değiştirdiyseniz key, eski çerezleri kullanmak için tekrar değiştirmeyi düşünün (<- sadece spekülasyon).
Javascript çağrıları ile bu sorunu vardı. Sadece jquery_ujs application.js dosyasına gerektiren ile düzeltildi.
Aynı sorunu yaşadık, ancak bunun https: // ile değil, yalnızca http: // kullanan istekler için olduğunu fark ettik. Nedeni secure: truesession_store içindi :
Rails.application.config.session_store(
:cookie_store,
key: '_foo_session',
domain: '.example.com',
secure: true
)Her yerde HTTPS ~ kullanılarak düzeltildi :)
rails sGeliştirme için ayarladığım SSL uç noktası yerine (SSL olmayan) kullanırken bu sorunla karşılaştım . Yorumunuzu okuyana kadar ne yaptığımı anladım. SSL kullanmaya geri döndüğümde işler tekrar çalışmaya başladı. Teşekkürler!
secure: trueYazdığımsecure: !Rails.env.development?
Raylar 5 için, atlamaktan daha iyidir
protect_from_forgery prepend: true.verify_authentication_token
Ekle
//= require rails-ujs içinde
\app\assets\javascripts\application.jsBu sorunu yaşadım ve bunun nedeni, bir denetleyiciyi kopyalayıp uygulamama yapıştırmamdı. Değiştirmek ApplicationControllerzorunda kaldımApplicationController::Base
Aynı sorunu localhost'ta da yaşadım. Uygulamanın alan adını değiştirdim, ancak URL'ler ve ana bilgisayarlar dosyasında hala eski alan vardı. Tarayıcı yer işaretlerimi ve ana makinelerimi yeni alan adı kullanacak şekilde güncelledi ve şimdi her şey iyi çalışıyor.
Belki de HTTPS için NGINX kurulumunuz var, ancak sertifikalarınız geçersiz? Geçmişte benzer bir sorun yaşadım ve http'den https'ye yönlendirme sorunu çözdü
<% = Csrf_meta_tags%> 'nin bulunduğunu ve tarayıcıdaki çerezleri temizlemenin benim için çalıştığını kontrol ettim.
Daha hızlı bir uygulama yüklemesi için Chrome Deniz Feneri önerilerini izleyerek Javascriptimi senkronize ettim:
views/layout/application.html.erb
<%= javascript_include_tag 'application', 'data-turbolinks-track' => 'reload', async: true %>Bu, her şeyi bozdu ve uzak formlarım için Token hatasını aldı. Kaldırma async: truesorunu düzeltti.
Bu cevap Ruby on Rails'e çok daha özeldir, ancak umarım birine yardımcı olacaktır.
GET olmayan tüm isteklere CSRF jetonunu eklemeniz gerekir. JQuery kullanmaya alışkınsanız, Rails adlı bir yardımcı kütüphanejquery-ujs üzerine inşa edilen ve bazı gizli işlevler ekleyen . Yaptığı şeylerden biri, her ajaxtalebe otomatik olarak CSRF jetonunu eklemektir . Buraya bakın .
Benim yaptığım gibi ondan uzaklaşırsanız, kendinizi bir hata ile bulabilirsiniz. Jetonu manuel olarak gönderebilir veya jetonu DOM'dan kazımak için başka bir kütüphane kullanabilirsiniz. Daha fazla ayrıntı için bu gönderiye bakın .
Geliştirme ortamı için, bu sorunu düzeltmek için Rails 6'da denedim. Hiçbiri yardımcı olmadı. Dolayısıyla, bu önerilerin hiçbiri sizin için işe yaramadıysa, aşağıda deneyin.
Bulduğum tek çözüm / tmp klasörünüze bir txt dosyası eklemekti.
Uygulamanızın kök dizininde şunlardan birini çalıştırın:
touch tmp/caching-dev.txtVeya / tmp klasörünüzde bu ada göre manuel olarak bir dosya oluşturun. Bu benim için düzelttiğinden, sorunun kökünün önbellek çatışması olduğunu varsayıyorum.
2.3.8'den 2.3.5'e düşürülerek sorun çözüldü. (aynı zamanda rezil 'Yönlendiriliyorsunuz' sorununun yanı sıra)