Rails：发出 POST 请求时无法验证 CSRF 令牌的真实性

Question

我想将POST request 发送给我的本地开发人员，如下所示：

  HTTParty.post('http://localhost:3000/fetch_heroku',
                :body => {:type => 'product'},)

但是，它会从服务器控制台报告

Started POST "/fetch_heroku" for 127.0.0.1 at 2016-02-03 23:33:39 +0800
  ActiveRecord::SchemaMigration Load (0.0ms)  SELECT "schema_migrations".* FROM "schema_migrations"
Processing by AdminController#fetch_heroku as */*
  Parameters: {"type"=>"product"}
Can't verify CSRF token authenticity
Completed 422 Unprocessable Entity in 1ms

这是我的控制器和路由设置，非常简单。

  def fetch_heroku
    if params[:type] == 'product'
      flash[:alert] = 'Fetch Product From Heroku'
      Heroku.get_product
    end
  end

  post 'fetch_heroku' => 'admin#fetch_heroku'

我不确定我需要做什么？关闭 CSRF 肯定会起作用，但我认为创建这样的 API 时应该是我的错误。

我还需要做其他设置吗？

Answer 1

跨站请求伪造 (CSRF/XSRF) 是指恶意网页诱使用户执行非预期的请求，例如通过使用小书签、iframe 或仅通过创建视觉上相似到足以欺骗用户的页面。

Rails CSRF protection 是为“经典”网络应用程序设计的 - 它只是提供一定程度的保证，即请求来自您自己的网络应用程序。 CSRF 令牌就像一个只有你的服务器知道的秘密——Rails 生成一个随机令牌并将其存储在会话中。您的表单通过隐藏的输入发送令牌，Rails 会验证任何非 GET 请求是否包含与会话中存储的内容匹配的令牌。

然而，API 通常被定义为跨站点，并且不仅仅用于您的网络应用程序，这意味着 CSRF 的整个概念并不完全适用。

相反，您应该使用基于令牌的策略来使用 API 密钥和机密对 API 请求进行身份验证，因为您正在验证请求来自已批准的 API 客户端，而不是来自您自己的应用。

您可以按照@dcestari 的指示停用 CSRF：

class ApiController < ActionController::Base
  protect_from_forgery with: :null_session
end

更新。在 Rails 5 中，您可以使用 --api 选项生成仅限 API 的应用程序：

rails new appname --api

它们不包括 CSRF 中间件和许多其他多余的组件。

• http://guides.rubyonrails.org/security.html#cross-site-request-forgery-csrf
• https://labs.kollegorna.se/blog/2015/04/build-an-api-now/
• WARNING: Can't verify CSRF token authenticity rails

Answer 2

关闭不会呈现空会话的 CSRF 的另一种方法是添加：

skip_before_action :verify_authenticity_token

在您的 Rails 控制器中。这将确保您仍然可以访问会话信息。

同样，请确保您只在 API 控制器或其他不太适用 CSRF 保护的地方执行此操作。

Answer 3

api.rubyonrails.org 上有关于 API 控制器的 CSRF 配置的相关信息：

⋮

请务必记住，XML 或 JSON 请求也会受到影响，如果您正在构建 API，您应该更改 ApplicationController 中的防伪方法（默认情况下：:exception）：

class ApplicationController < ActionController::Base
  protect_from_forgery unless: -> { request.format.json? }
end

我们可能希望对 API 禁用 CSRF 保护，因为它们通常设计为无状态。也就是说，请求API 客户端将为您处理会话，而不是 Rails。

⋮

Answer 4

从 Rails 5 开始，您还可以使用 ::API 而不是 ::Base: 创建一个新类：

class ApiController < ActionController::API
end

Answer 5

如果您使用的是 Devise，请注意

对于 Rails 5，protect_from_forgery 不再附加到 before_action 链中，因此如果您在 protect_from_forgery 之前设置了 authenticate_user，您的请求将导致“无法验证 CSRF 令牌真实性”。要解决此问题，请更改您调用它们的顺序，或使用protect_from_forgery prepend: true。

Documentation

Answer 6

如果您只想为一个或多个控制器操作（而不是整个控制器）跳过 CSRF 保护，试试这个

skip_before_action :verify_authenticity_token, only [:webhook, :index, :create]

[:webhook, :index, :create] 将跳过对这 3 个操作的检查，但您可以更改为任何您想跳过的操作

Answer 7

如果要排除示例控制器的示例操作

class TestController < ApplicationController
  protect_from_forgery except: :sample

  def sample
　　 render json: @hogehoge
  end
end

您可以毫无问题地处理来自外部的请求。

Answer 8

在 Rails 6 中，我找到了解决“无法验证 CSRF 令牌真实性”的简单方法。只是放

config.action_controller.default_protect_from_forgery = false # unless ENV["RAILS_ENV"] == "production"

在 application.rb 中

它在开发模式下很方便。但不要在生产中使用它。

Answer 9

这个问题最简单的解决方法是在你的控制器中做标准的事情，或者你可以直接把它放到ApplicationController：

class ApplicationController < ActionController::Base
  protect_from_forgery with: :exception, prepend: true
end