无法验证 CSRF 令牌真实性 Rails 4.1

Posted 2023-03-10

【中文标题】无法验证 CSRF 令牌真实性 Rails 4.1

【英文标题】：Can't verify CSRF token authenticity Rails 4.1

【发布时间】：2014-06-16 03:46:53

【问题描述】：

我正在开发一个简单的网站，让管理员可以创建问题并让用户解决问题。我将 ActiveAdmin 用于管理部分，将简单的 AJAX 调用用于用户解决部分。起初尝试通过 ActiveAdmin::Devise 登录是成功的，但无法退出。我删除了所有 cookie，从那时起，我无法在没有 CSRF 令牌真实性异常的情况下进行 POST 操作。我的 application.html.erb 的头部有正确的 meta_tags，声明了 jquery_ujs（其他线程说这是一个常见问题），并且在两个 POST 操作中都存在真实性令牌。我什至尝试通过 skip_before_filter :verify_authenticity_token 避免验证，但 ActiveAdmin 登录和 POST 示例继续失败。日志如下，您可以看到令牌存在。我还展示了 Gemfile，以防其中任何一个与 CSRF 发生冲突。

Rails 版本 [4.1.0] Ruby 版本 [2.1] Phusion 乘客版 [4.0.41]

提前致谢。

application.html.erb

<head>
  <title>Introducción Matematicas</title>
  <%= stylesheet_link_tag    "application", media: "all"%>
  <%= javascript_include_tag "application", "data-turbolinks-track" => true %>
  <link href="http://fonts.googleapis.com/css?family=Roboto:100,300,400,500,700|Roboto+Slab:300,400" rel="stylesheet" type="text/css">
  <%= csrf_meta_tags %>
</head>

---

application.js

//= require jquery
//= require jquery_ujs
//= require_tree ../../../vendor/assets/javascripts/.
//= require_tree .

应用控制器

class ApplicationController < ActionController::Base
  # Prevent CSRF attacks by raising an exception.
  # For APIs, you may want to use :null_session instead.
  protect_from_forgery with: :null_session
  #skip_before_filter :verify_authenticity_token
  before_filter :configure_permitted_parameters, if: :devise_controller?
  protected
  def configure_permitted_parameters
      devise_parameter_sanitizer.for(:sign_up) do |u|
        u.permit :name,:college, :email, :password, :password_confirmation
      end
  end
end

管理员登录日志

INFO -- : Processing by ActiveAdmin::Devise::SessionsController#create as HTML
INFO -- :   Parameters: "utf8"=>"✓", "authenticity_token"=>"aRZK3470X6+FJPANEuHAiwVW4NZwMzCkXtoZ1qlhQ0o=", "admin_user"=>"email"=>"omar@gmail.com", "password"=>"[FILTERED]", "remember_me"=>"0", "commit"=>"Login"
WARN -- : Can't verify CSRF token authenticity
INFO -- : Completed 401 Unauthorized in 110ms
INFO -- : Processing by ActiveAdmin::Devise::SessionsController#new as HTML
INFO -- :   Parameters: "utf8"=>"✓", "authenticity_token"=>"aRZK3470X6+FJPANEuHAiwVW4NZwMzCkXtoZ1qlhQ0o=", "admin_user"=>"email"=>"omar@gmail.com", "password"=>"[FILTERED]", "remember_me"=>"0", "commit"=>"Login"
WARN -- : Can't verify CSRF token authenticity
INFO -- :   Rendered vendor/cache/ruby/2.1.0/bundler/gems/active_admin-a460d8d2ab37/app/views/active_admin/devise/shared/_links.erb (2.0ms)
INFO -- :   Rendered vendor/cache/ruby/2.1.0/bundler/gems/active_admin-a460d8d2ab37/app/views/active_admin/devise/sessions/new.html.erb within layouts/active_admin_logged_out (73.0ms)
INFO -- : Completed 200 OK in 302ms (Views: 80.2ms | ActiveRecord: 0.0ms)

通过 AJAX 日志进行简单 POST

INFO -- : Processing by QuestionsController#check_question as JS
INFO -- :   Parameters: "utf8"=>"✓", "que_id"=>"44", "authenticity_token"=>"CjaAx+B36JPc1PUIhta0vIuOTKX4UhrFWlmYHAd+KWY=", "question"=>"id"=>"169", "commit"=>"Verificar Respuesta", "id"=>"6"
WARN -- : Can't verify CSRF token authenticity
INFO -- :   Rendered answers/_answer.html.erb (1.2ms)
INFO -- :   Rendered questions/check_question.js.erb (17.0ms)
INFO -- : Completed 200 OK in 94ms

宝石文件

source 'https://rubygems.org'
gem 'rails', '4.1.0'
#gem 'ckeditor'
gem 'mysql2', "0.3.15"
gem 'devise'
gem 'activeadmin', github: 'gregbell/active_admin'
gem 'sass-rails', '~> 4.0.0'
gem 'uglifier', '>= 1.3.0'
gem 'execjs'
gem 'therubyracer'
gem 'coffee-rails', '~> 4.0.0'
gem 'jquery-rails'
gem 'turbolinks'
gem 'jbuilder', '~> 1.2'
group :doc do
  gem 'sdoc', require: false
end
gem 'minitest'

【问题讨论】：

类似答案可见here。致谢：@hungyuhei

【参考方案1】：

skip_before_filter :verify_authenticity_token

哇，不要这样做。这完全是黑客攻击，如果你不小心把它留在了代码中，你就会造成严重的安全问题。

那么，为什么要删除 cookie？如果我正确阅读了您的问题，那是因为您的注销功能已损坏？您如何找出注销不起作用的原因并修复它。去创建另一个问题（绕过 CSRF 身份验证）而不是修复原始问题可能不是一个好主意。

与此同时，重新启动本地开发服务器并在浏览器中启动一个新选项卡。看看这是否让 CSRF 的东西至少消失了，然后再回到注销问题。

【讨论】：

skip_before_filter 只是为了检查除了登录之外的其他 POST 操作发生了什么，如果 CSRF 检查被忽略（服务器在本地网络中，只有我的团队可以访问，这就是我使用skip_before_filter hack），正如您的建议，我将首先检查登录和注销操作发生的情况。如果我发现问题，我会在这里发布结果:) 谢谢@jefflunt

哦，我以为它只是在一个内部盒子上。我的意思是，在经过长时间的调试会话后，有时事情会被遗忘，如果它投入生产会很糟糕。

我似乎遇到了同样的问题。如果我已登录（设计），则没有错误。

我在 ActiveAdmin 登录时遇到了同样的问题，我的在服务器上工作了几个月没有任何问题，突然这变成了一个问题，你有没有运气解决这个问题？

这是安全的，如果我们write API .. 对吗？

【参考方案2】：

只需添加以下 gem https://github.com/jsanders/angular_rails_csrf 即可完成其余部分。

【参考方案3】：

通常，您在从 AJAX 调用时会遇到此问题。您可以简单地将令牌与帖子一起发送

headers : 
      'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content') // X-CSRF-TOKEN is used for Ruby on Rails Tokens

在你的 ajax post 调用中，并确保你有

<%= csrf_meta_tags %>

在您的 HTML 中。

永远不要使用这个

skip_before_filter :verify_authenticity_token