रेल 4 प्रामाणिकता टोकन

जब मैं कुछ प्रामाणिकता टोकन समस्याओं में भाग गया, तो मैं एक नई रेल्स 4 ऐप (रूबी 2.0.0-p0 पर) पर काम कर रहा था।

एक नियंत्रक लिखते समय जो कि json ( respond_toवर्ग विधि का उपयोग करके ) के लिए प्रतिक्रिया करता है , मुझे उस createकार्रवाई के लिए मिला, ActionController::InvalidAuthenticityTokenजब मैंने एक रिकॉर्ड का उपयोग करने का प्रयास करने के लिए अपवाद प्राप्त करना शुरू कर दिया curl।

मैंने सुनिश्चित किया कि मैंने -H "Content-Type: application/json"डेटा सेट किया है और मैंने डेटा सेट किया है -d "<my data here>"लेकिन फिर भी कोई भाग्य नहीं है।

मैंने रेल्स 3.2 (रूबी 1.9.3 पर) का उपयोग करके एक ही नियंत्रक लिखने की कोशिश की और मुझे जो भी समस्याएँ मिलीं, उन्हें कोई प्रामाणिकता टोकन टोकन नहीं मिला। मैंने चारों ओर खोज की और मैंने देखा कि रेल में प्रामाणिक टोकन के साथ कुछ बदलाव थे। 4. जो मैं समझता हूं, वे अब स्वतः रूपों में सम्मिलित नहीं होते हैं? मुझे लगता है कि यह किसी भी तरह गैर-HTML सामग्री प्रकारों को प्रभावित कर रहा है।

क्या HTML फॉर्म का अनुरोध किए बिना इसके आसपास पहुंचने का कोई तरीका है, प्रामाणिकता टोकन को छीनना, फिर उस टोकन के साथ एक और अनुरोध करना? या मैं पूरी तरह से कुछ याद कर रहा हूँ जो पूरी तरह से स्पष्ट है?

संपादित करें: मैंने बस एक नई रेल 4 ऐप में एक नया रिकॉर्ड बनाने की कोशिश की, जिसमें बिना किसी बदलाव के एक मचान का उपयोग किया गया है और मैं उसी समस्या में चल रहा हूं, इसलिए मुझे लगता है कि मैंने ऐसा कुछ नहीं किया है।

मुझे लगता है कि मैंने इसे समझ लिया है। मैंने (नया) डिफ़ॉल्ट बदल दिया है

protect_from_forgery with: :exception

सेवा

protect_from_forgery with: :null_session

में टिप्पणी के अनुसार ApplicationController।

# Prevent CSRF attacks by raising an exception.
# For APIs, you may want to use :null_session instead.

आप request_forgery_protecton.rbनिम्नलिखित लाइनों के लिए , या, अधिक विशेष रूप से स्रोत को देखकर अंतर देख सकते हैं :

में रेल 3.2 :

# This is the method that defines the application behavior when a request is found to be unverified.
# By default, \Rails resets the session when it finds an unverified request.
def handle_unverified_request
  reset_session
end

में रेल 4 :

def handle_unverified_request
  forgery_protection_strategy.new(self).handle_unverified_request
end

जो निम्नलिखित को कॉल करेगा :

def handle_unverified_request
  raise ActionController::InvalidAuthenticityToken
end

सीएसआरएफ सुरक्षा बंद करने के बजाय, फ़ॉर्म में कोड की निम्न पंक्ति जोड़ना बेहतर है

<%= tag(:input, :type => "hidden", :name => request_forgery_protection_token.to_s, :value => form_authenticity_token) %> 

और यदि आप फॉर्म जनरेट करने के लिए form_for या form_tag का उपयोग कर रहे हैं, तो यह स्वचालित रूप से कोड की उपरोक्त रेखा को फॉर्म में जोड़ देगा

निम्नलिखित लाइन को मेरे लिए काम करने वाले फॉर्म में जोड़ना:

<%= hidden_field_tag :authenticity_token, form_authenticity_token %>

मुझे नहीं लगता कि आम तौर पर CSRF सुरक्षा को बंद करना अच्छा है जब तक कि आप विशेष रूप से एक एपीआई को लागू नहीं करते हैं।

जब ActionController के लिए रेल 4 एपीआई प्रलेखन को देखते हुए मैंने पाया कि आप प्रति नियंत्रक या प्रति विधि आधार पर जालसाजी संरक्षण को बंद कर सकते हैं।

उदाहरण के लिए CSRF सुरक्षा को उन विधियों के लिए बंद करें जिनका आप उपयोग कर सकते हैं

class FooController < ApplicationController
  protect_from_forgery except: :index

एक ही समस्या के पार आया। इसे मेरे नियंत्रक में जोड़कर तय किया:

      skip_before_filter :verify_authenticity_token, if: :json_request?

क्या आप ने कोशिश की?

 protect_from_forgery with: :null_session, if: Proc.new {|c| c.request.format.json? }

यह आधिकारिक डॉक - एपी के लिए जालसाजी संरक्षण को ठीक से बंद करने के बारे में बात करता है http://api.rubyonrails.org/classes/ActionController/RequestForgeryProtection.html

यह रेल में एक सुरक्षा सुविधा है। फॉर्म में इस कोड को जोड़ें:

<%= hidden_field_tag :authenticity_token, form_authenticity_token %>

दस्तावेज़ीकरण यहाँ पाया जा सकता है: http://api.rubyonrails.org/classes/ActionController/RequestForgeryProtection.html

इन सुविधाओं को सुरक्षा और जालसाजी संरक्षण उद्देश्यों के लिए जोड़ा गया था।
हालांकि, आपके प्रश्न का उत्तर देने के लिए, यहां कुछ इनपुट दिए गए हैं। आप नियंत्रक नाम के बाद इन पंक्तियों को जोड़ सकते हैं।

इस तरह,

class NameController < ApplicationController
    skip_before_action :verify_authenticity_token

यहाँ रेल के विभिन्न संस्करणों के लिए कुछ पंक्तियाँ दी गई हैं।

रेल 3

Skip_before_filter: verify_authenticity_token

रेल 4 :

Skip_before_action: Ver_authenticity_token

क्या आपको सभी नियंत्रक रूटीन के लिए इस सुरक्षा सुविधा को अक्षम करने का इरादा है, तो आप अपने application_controller.rb फ़ाइल पर protect_from_forgery से : null_session का मान बदल सकते हैं ।

इस तरह,

class ApplicationController < ActionController::Base
  protect_from_forgery with: :null_session
end

यदि आप रेल के साथ jQuery का उपयोग कर रहे हैं, तो प्रामाणिकता टोकन को सत्यापित किए बिना विधियों में प्रवेश की अनुमति देने से सावधान रहें।

jquery-ujs आपके लिए टोकन प्रबंधित कर सकते हैं

आपके पास पहले से ही jquery-rails रत्न के हिस्से के रूप में होना चाहिए, लेकिन आपको इसे application.js में शामिल करना होगा

//= require jquery_ujs

आपको बस इतना ही चाहिए - आपका अजाक्स कॉल अब काम करना चाहिए

अधिक जानकारी के लिए, देखें: https://github.com/rails/jquery-ujs

authenticity_token: trueफॉर्म टैग में जोड़ें

जब आप अपने स्वयं के HTML फॉर्म को परिभाषित करते हैं तो आपको प्रमाणीकरण टोकन स्ट्रिंग को शामिल करना होगा, जिसे सुरक्षा कारणों से नियंत्रक को भेजा जाना चाहिए। यदि आप रेलिंग हेल्पर का उपयोग करते हैं तो प्रामाणिकता उत्पन्न करने के लिए टोकन को फॉर्म के रूप में जोड़ा जाता है।

<form accept-charset="UTF-8" action="/login/signin" method="post">
  <div style="display:none">
    <input name="utf8" type="hidden" value="&#x2713;" />
    <input name="authenticity_token" type="hidden" value="x37DrAAwyIIb7s+w2+AdoCR8cAJIpQhIetKRrPgG5VA=">
  </div>
    ...
</form>

तो समस्या का समाधान या तो प्रामाणिकता_टोकन फ़ील्ड को जोड़ना है या रेल के रूप में सहायक का उपयोग करना है बल्कि सुरक्षा से समझौता करना है आदि।

मेरे सभी परीक्षण ठीक काम कर रहे थे। लेकिन किसी कारण से मैंने अपने पर्यावरण चर को गैर-परीक्षण करने के लिए निर्धारित किया था:

export RAILS_ENV=something_non_test

मैं इस वेरिएबल को अनसेट करना भूल गया जिसकी वजह से मुझे ActionController::InvalidAuthenticityTokenअपवाद मिलना शुरू हो गया।

परेशान होने के बाद $RAILS_ENV, मेरे परीक्षणों ने फिर से काम करना शुरू कर दिया।