1. 首頁
  2. 問答
  3. Rails的5 InvalidAuthenticityToken,但令牌存在

Rails的5 InvalidAuthenticityToken,但令牌存在

2017-06-05 338 views
1

我得到的ActionController :: InvalidAuthenticityToken保存簡單的資源..Rails的5 InvalidAuthenticityToken,但令牌存在

CSRF meta標籤存在:

<meta name="csrf-token" content="Z4fDRsIqCp4cvpCw1Dp6kN7z0uPNF5otp611C80YhUg/oB+AcUy+dz2b5qKyoMMo48LdEvbF3dcBn2d0GqeR+g==" />

和表單的令牌字段:

<input type="hidden" name="authenticity_token" value="bIMZ5cndd/CTgOwjC3quOp02WlvWdDmhdNQCyKb920HIZz2Y8vvNDlTa7d4PKaJ5pUY6QkHKYCqiHikc2rFsyQ==" />

會話ID不是在請求之間持續存在,但我知道這種行爲是在發生CSRF錯誤時使用的。

形式的代碼:

<%= form_for document do |f| %> 
    <% if document.errors.any? %> 
    <div id="error_explanation"> 
     <h2><%= pluralize(document.errors.count, "error") %> prohibited this document from being saved:</h2> 

     <ul> 
     <% document.errors.full_messages.each do |message| %> 
     <li><%= message %></li> 
     <% end %> 
     </ul> 
    </div> 
    <% end %> 

    <div class="actions"> 
    <%= f.submit %> 
    </div> 
<% end %>

控制器相關的操作:

def new 
    @document = Document.new 
    end 

    def create 
    @document = Document.new(document_params) 

    respond_to do |format| 
     if @document.save 
     format.html { redirect_to @document, notice: 'Document was successfully created.' } 
     format.json { render :show, status: :created, location: @document } 
     else 
     format.html { render :new } 
     format.json { render json: @document.errors, status: :unprocessable_entity } 
     end 
    end 
    end

不知道如何甚至解決此,原因很明顯,我不願意關閉CSRF保護。

編輯:我正在通過一個nginx容器作爲代理,也許我的配置是不正確的?下面是配置:如列出here

upstream backend { 
    server service:3000; 
} 

server { 
    listen 80 default_server; 

    error_page 500 502 503 504 /500.html; 
    error_log /dev/stdout info; 
    access_log /dev/stdout; 

    location/{ 
     proxy_pass http://backend; 
    } 
}

來源

2017-06-05 user1456632

+0

你在使用設計嗎? – Gerry

+0

不,還沒有添加任何額外的寶石 – user1456632

+0

更新我的問題與潛在的相關信息 – user1456632

回答

1

爲別人運行到這背後的nginx的代理,這是通過將代理配置nginx的解決:

我缺少這些:

proxy_set_header  X-Real_IP  $remote_addr; 
proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for; 
proxy_set_header  X-NginX-Proxy true; 
proxy_set_header  Host   $http_host; 
proxy_set_header  Upgrade   $http_upgrade; 
proxy_pass_header  Set-Cookie;

來源

2017-06-05 17:56:33 user1456632

1

我在這個問題上掙扎了幾天,直到我終於在我的nginx設置中偶然發現了這條缺失的行:

location @puma { 
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 
    proxy_set_header Host $http_host; 
    proxy_redirect off; 
    proxy_set_header X-Forwarded-Proto https; # Needed to avoid 'WARNING: Can't verify CSRF token authenticity' 
    proxy_pass http://puma; 
}

添加缺失的行「proxy_set_header X-Forwarded-Proto https;」後,我所有的CSRF令牌錯誤都會退出。

來源

2018-02-05 22:03:35 Hoffmann

相關問題

 相關問題