Следуя Руководству по началу работы с Rails и получая ActionController::InvalidAuthenticityToken

Я следую руководству по началу работы с рельсами здесь: http://guides.rubyonrails.org/getting_started.html< /а>

Я нахожусь на этапе «Создание сообщений», где я настраиваю свое новое представление для отправки сообщения моему контроллеру. Когда я нажимаю кнопку отправки в представлении, я получаю сообщение об ошибке ActionController::InvalidAuthenticityToken

Мне удалось обойти ошибку, закомментировав эту строку в ApplicationController.

protect_from_forgery with: :exception

Однако я не уверен, должен ли я это делать. Это нормально или стоит копнуть глубже в проблему? Что делает эта линия?

Содержимое: /views/layouts/application.html.erb

<!DOCTYPE html>
<html>
<head>
  <title>Budget</title>
  <%= stylesheet_link_tag    "application", media: "all", "data-turbolinks-track" => true %>
  <%= javascript_include_tag "application", "data-turbolinks-track" => true %>
  <%= csrf_meta_tags %>
</head>
<body>

<%= yield %>

</body>
</html>

ruby ruby-on-rails actioncontroller
person user2246986    schedule 04.02.2014    source источник
comment
Вы удалили объявление <%= csrf_meta_tags %> из файла макета?   -  person sevenseacat    schedule 04.02.2014
comment
Нет, я вообще не изменял файл макета, я обновил свой исходный пост, добавив содержимое /views/layouts/application.html.erb. Я просто следовал руководству по началу работы, вместо создания контроллера сообщений я создал контроллер покупок, а вместо нового блога рельсов использовал новый бюджет рельсов.   -  person user2246986    schedule 05.02.2014

Ответы (1)


arrow_upward
1
arrow_downward

Нет, вам не следует комментировать эту строку в файле ApplicationController. Он предназначен для обеспечения безопасности вашего приложения на производственном уровне.

Из документов: включите защиту от подделки запросов. Имейте в виду, что проверяются только не-GET запросы HTML/JavaScript.

protect_from_forgery — это функция Rails, которая защищает от межсайтового Атаки подделки запроса (CSRF). Эта функция заставляет все сгенерированные формы иметь скрытое поле идентификатора. Это поле идентификатора должно соответствовать сохраненному идентификатору, иначе отправка формы не будет принята. Это предотвращает отправку вредоносных форм на других сайтах или форм, вставленных с помощью XSS, в приложение Rails. Нагло скопировано с здесь.

И, наконец, не в последнюю очередь. Вот ссылка, объясняющая, почему подделка межсайтовых запросов (CSRF) следует воспринимать серьезно, и почему это важно.

person Surya    schedule 04.02.2014