Rails 请求伪造保护设置

Question

请帮助 Rails 中的新手 :) 我的 ApplicationController 类中有 protect_from_forgery 调用（默认情况下），但没有属性。

基本上是代码：

class ApplicationController < ActionController::Base
  helper :all # include all helpers, all the time
  protect_from_forgery
  helper_method :current_user_session, :current_user
  filter_parameter_logging :password, :password_confirmation

我认为它应该做的是：它应该阻止任何没有正确authenticity_token 的 POST 请求。但是当我像下面这样使用 jQuery 发送 post 请求时，它工作正常（数据库中执行了更新语句）！

$.post($(this).attr("href"), { _method: "PUT", data: { test: true } });

我在控制台中看到发送的参数中没有authenticity_token，但请求仍然被认为是有效的。这是为什么呢？

UPD 在 config/environments/development.rb 中找到配置设置

config.action_controller.consider_all_requests_local = true

由于DEV环境和本地请求，这些jQuery post请求都OK。

Answer 1

也许是个愚蠢的问题：您确定要继承 ApplicationController 吗？你的路线图是什么样的？什么版本的 Rails（只是为了清楚起见）？

您是否验证了来自 jQuery 的调用实际上是 POST 而不是 GET？ （我知道，这似乎很明显）。 Rails 只会对非 GET 请求执行保护。

另外，发出的请求的 content-type 是什么。根据the docs，Rails 也只会执行保护，前提是它是一个 HTML/Javascript 请求。

Answer 2

只要在应用程序内部执行请求 $.post($(this).attr("href"), { _method: "PUT", data: { test: true } });，您的代码就没有问题。如果您在其他地方运行了另一个应用程序，例如在 localhost:3001 上，并且您从那里发送了一个帖子，那么它将无法工作。事实上，如果你使用的是 firefox > 3.0，它也有一个跨站点 xhr 的早期实现。例如，您可以从任何其他站点发送 POST（但前提是保护_from_forgery 已关闭！）。 xhr 不需要 auth token 的原因是禁用了跨站点 xhr。因此在不提供身份验证令牌的情况下使用 xhr 是安全的。如果您从应用程序以外的任何其他地方尝试，我相信它会引发异常，要求提供身份验证令牌。此外，您应该定义一个 crossdomain.xml 以防止来自外部来源的访问。

尝试这样做：curl -X -d url_endpoint_of_your_app。看看您是否收到 200 响应代码。如果你这样做了，那就有问题了。