Rails - 401（未授權）錯誤 - JSON與AJAX控制器

Question

在我的Rails應用程序中，我試圖通過AJAX將JSON傳遞給控制器​​，但我遇到了401 (unauthorized)錯誤。我一直在研究這個，並試圖弄清楚我做錯了什麼，但我不太清楚。

首先，在AJAX本身 -

$.ajax({ 
    url: "report/submission", 
    type: "POST", 
    beforeSend: function(xhr) {xhr.setRequestHeader("X-CSRF-Token", $("meta[name='csrf-token']").attr("content"))}, 
    data: {"report" : reportParameter} 
}); 

這將數據傳遞到submission行動在Report控制器 -

class ReportController < ApplicationController 

    before_action :authenticate_user!, :only => [:submission] 

    def submission 
     INSERT ENTRIES TO DB, ETC 
    end 

end 

因此，也許一個複雜因素是，我需要before_action設計登錄。

所以基本過程是，用戶完成一個形式，條目被組裝成JSON（reportParameter），然後傳遞給submission行動需要登錄成功完成（我知道這可能會向後似乎，但它對這個特定的應用程序是必要的）。

我的佈局包括<%= csrf_meta_tags %>，我在application控制器中設置protect_from_forgery with: :null_session。

我必須承認，我不明白這一點，以至於沒有更多的洞察力 - 我知道這是一個與CSRF令牌相關的授權問題，但我認爲在AJAX中設置beforeSend會解決這個問題。

任何指導將不勝感激。

Answer 1

如果您使用標準Rails窗體（form_tag或form_for），那麼一個簡單的方法是使用jquery-ujs。它通常在application.js默認爲：

# application.js 
//= require jquery_ujs 

它會自動處理CSRF令牌，並增加了jQuery的ajax方法（要手動做的事情）。

如果你不想將application.js文件包含到你的頁面，那麼你可以簡單地包含jquery-ujs.js文件。

如果你不想這樣做，那麼我唯一能想到的就是你的表單使用的是「舊」或「不是最新」的csrf標記（緩存表單可能有它們） 。然後，確保隱藏表單中的csrf標記未被提交，或與您在請求標頭中發送的標記相匹配。 Here是給你一個我的意思的想法。