rails 报错Can't verify CSRF token authenticity的解决办法

最新推荐文章于 2024-08-09 14:09:30 发布
最新推荐文章于 2024-08-09 14:09:30 发布
阅读量1.1w 收藏 1
点赞数
分类专栏: ruby 文章标签: rails
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yc1022/article/details/11907411
版权 
解决:在controller下面加上
skip_before_filter :verify_authenticity_token, :only => [:create]
class PostsController < ApplicationController

   skip_before_filter :verify_authenticity_token, :only => [:create]
   def create
        #your method
   end
end
这个问题是由于 Flash 的请求,Rails 无法获取 Session ,也就无法得到 CSRF ,也就是说连 current_user 也是无法获取到的,网上有很多教程是用 FlashSessionCookieMiddleware 这个方式来做,但实际用起来却没有那么稳定。
解决办法其实简单点可以关掉 verify_authenticity_token,然后用自定义加密的 current_user.id 方式代替,提交的时候将加密过的 current_user.id 提交回来解密就能得到当前用户的编号了。

 
 

  
  
class AttachmentsController < ApplicationController
  skip_before_filter :verify_authenticity_token, :only => [:create]

  def new
    @user_id = AES.encrypt(current_user.id.to_s, "自定义密钥")
  end

  def create
    @user_id = AES.decrypt(params[:uid], "自定义密钥")
    @attachment = Attachment.new(params[:attachment])
    @attachment.user_id = @user_id
    @attachment.save
  end
end 

 
 
不稳定的话可以用下面方法解决,就是把session加载进来

 
 

  
  
 prepend_before_filter :load_session, only: :flash_upload

 def load_session
    unless session.loaded?
      se = Marshal.load(ActiveSupport::Base64.decode64(params["_dituhui_session"]))
      logger.info("\n--------session is: #{se.inspect}-----------\n")
      request.session.update(se)
    end
  end


 
 
其实就是在authenticate_user!前,执行load_session

yanchengyc
关注
专栏目录
Can’t verify CSRF token authenticit
ashly和别人不一样呀
03-10 709
Can’t verify CSRF token authenticity. Completed 422 Unprocessable EntityParameters: {“signup_email”=>“987987”, “signup_password”=>"[FILTERED]"} 关于传递一些加密数据的问题 skip_before_action :verify_authenticity_token
rails中Can't verify CSRF token authenticity错误解决办法
铭霏的记事本
12-19 9060
skip_before_filter :verify_authenticity_token,:only => :phone_login
「网络安全渗透」如果你还不懂CSRF?这一篇让你彻底掌握
最新发布
2401_85773496的博客
08-09 1085
面试的时候的著名问题:“谈一谈你对 CSRF 与 SSRF 区别的看法”这个问题,如果我们用非常通俗的语言讲的话,CSRF 更像是钓鱼的举动,是用户攻击用户的;而对于 SSRF 来说,是由服务器发出请求,用户。
rails devise Completed 401 Unauthorized && can't verify csrf token authenticity
iteye_2629的博客
11-05 669
最近做项目的时候,由于时间紧,做得太快,没注意细节,导致一些错误. 11.05更新: 偶尔又会出现问题,清理历史记录后就好了!!!  1.can't verify csrf token authenticity google了很久之后通过 class ApplicationController &lt; ActionController::Base # Prevent CSRF ...
backbone.csrf:为所有Backbone同步请求配置X-CSRFToken标头
04-29
尽管在少数情况下, Backbone应用程序在没有任何后端框架(例如Django , Rails , Play等)的情况下独自运行,但Backbone本身缺乏对csrf令牌身份验证的支持,大多数后端Web框架都出于客户端请求而要求客户端请求...
superagent-rails-csrf:将CSRF令牌设置为visionmediasuperagent请求
05-13
CSRF令牌设置为请求的X-CSRF-Token标头。 CSRF令牌是由Rails创建的,并从元标记(由csrf_meta_tags帮助程序生成)中获取令牌。 用法 var request = require ( 'superagent' ) ; require ( 'superagent-rails-csrf...
Rails bundle命令安装mysql gem包出错的解决方法
01-02
解决 Rails bundle 安装不上 mysql gem包的问题 环境 ubuntu 12.04 ruby-2.1.1 首先 新建一个的一个项目,在该项目上执行 bundle install 提示 代码如下: … Make sure that gem install mysql2 -v ‘0.3.16’; ...
rails No route matches 错误的解决方法
01-02
有时候 rails 会出现: “No route matches”错误, 可以利用如下方法解决; 找到 config/routes.rb 文件, 打开编辑, 找到如下行: # See how all your routes lay out with “rake routes” 在这行下面添加一行, 内容...
react-devise-token-auth-sample:使用devise_token_auth进行身份验证的Rails
02-05
这是使用devise_token_auth gem进行身份验证的React on Rails的示例应用程序。 发展历程 $ git clone https://github.com/saitoxu/react-devise-token-auth-sample.git $ cd react-devise-token-auth-sample $ ...
巧妙的解决csrf_token问题
zhangfortune的专栏
10-21 4148
无论是在django中,还是在ruby on rails中,都提供了一种基于token验证的机制,可以理解为防跨站机制。这种机制呆了的好处不必多说,但是会带来一种麻烦,就是在使用ajax的时候,会导致提交失败,比如在django中会提示:   CSRF verification failed. Request aborted.(django) Can't verify CSRF toke...
基于spring security的简易用户身份认定(基于xml)
wyccyw123456的专栏
06-30 7725
web.xml <!DOCTYPE web-app PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN" "http://java.sun.com/dtd/web-app_2_3.dtd" > Archetype Created Web Application springSecurityFilt
SVN解锁
Android 爱好者
03-19 2458
用SVN经常出现被锁定而无法提交的问题,选择解锁又提示没有文件被锁定,很是头疼。 这里整理了一下SVN 被锁定的几种解决方法: 1.出现这个问题后使用“清理”即"Clean up"功能,如果还不行,就直接到上一级目录,再执行“清理”,然后再“更新”。 2.有时候如果看到某个包里面的文件夹没有SVN的标志,直接用“Ctrl+Delete”手工删除,然后“清理”,最后“更新”或“提交”。
python爬虫自动登录github时获取authenticity_token的坑
终生学习
06-14 3591
python爬虫自动登录github时获取authenticity_token,如果直接调用BeautifulSoup来找到name=authenticity_token的值是行不通的,此时会得到一个不一样的authenticity_token。所以解决办法是直接用xpath来采集路径得到authenticity_token 代码如下: import requests from lxml im...
Rails 3.1开发秘籍:问题解决方案集锦
"Rails Recipes: Rails 3 Edition 是一本针对初学者至中级Rails开发者编写的书籍,由Rails专家Chad Fowler修订,涵盖了70个最常遇到的问题解决方案,全部更新至Rails 3.1的最新特性。本书旨在帮助开发者解决从构建...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值