iframe导致无法validationCSRF令牌真实性n Rails
我有一个使用phonegap 2.3.0 for Windows Phone 8 SDK通过iframe加载的webapp。 通过iframe加载它的问题是,当我发送$.post()
请求时,它导致Can't verify CSRF token authencity
在Rails端Can't verify CSRF token authencity
。
我尝试了几种方法,例如覆盖$.post()
以使用$.ajax()
来使用令牌的setHeaderRequest
,以及$.ajaxSetup()
当我禁用protect_from_forgery
或verify_authenticity_token
,应用程序会正确加载。
我认为问题的原因是因为webapp位于另一个域(跨域问题),而csrf只是试图阻止点击劫持。 有办法绕过这个问题吗?
以下是我发布的示例:
$.post(url, {app: {played: tiles}, no: no}, function (response) { linkTo('#app_button', response['next']); });
例:
$.ajaxSetup({ beforeSend: function(xhr) { xhr.setRequestHeader('X-CSRF-Token', $('meta[name="csrf-token"]').prop('content')); } });
编辑:我已经能够将真实性令牌作为参数传递到我的发布请求中,并出现相同的错误。 我开始相信错误不是由令牌引起的。 错误发生的其他原因是什么?
日志:
[2539 - 2013/03/06 15:37:42] (INFO) Parameters: {"app"=>{"played"=>"tiles"}, "no"=>"no", "authenticity_token"=>"yBpUImzjtKGIejh/WCekv/GCi1zjPirib22plqfLJ1Y="} [2539 - 2013/03/06 15:37:42] (WARN) WARNING: Can't verify CSRF token authenticity [2539 - 2013/03/06 15:37:42] (INFO) User agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 920) [2539 - 2013/03/06 15:37:42] (DEBUG) User Load (1.8ms) SELECT `users`.* FROM `users` WHERE `users`.`id` IS NULL LIMIT 1 [2539 - 2013/03/06 15:37:42] (DEBUG) CACHE (0.0ms) SELECT `users`.* FROM `users` WHERE `users`.`id` IS NULL LIMIT 1 [2539 - 2013/03/06 15:37:42] (DEBUG) CACHE (0.0ms) SELECT `users`.* FROM `users` WHERE `users`.`id` IS NULL LIMIT 1 [2539 - 2013/03/06 15:37:42] (WARN) Lost session [118.143.97.82] (/locations/1/games) - Mozilla/5.0 (compatible; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 920) [2539 - 2013/03/06 15:37:42] (DEBUG) CACHE (0.0ms) SELECT `users`.* FROM `users` WHERE `users`.`id` IS NULL LIMIT 1
答案是因为没有阻止会话存储的P3P标头。 您需要添加一个P3P标头来解决此问题。
将此隐藏字段添加到表单中。 我修复了“无法validationCSRF令牌真实性”的相同问题
您可以关闭某些控制器操作的CSRF。 您可以为AJAX调用创建一个新操作(假设iframe)并添加到控制器中:
skip_before_filter :verify_authenticity_token, :only => [:iframe]
问题是您需要在Ajax POST请求之后获取新令牌,因为一旦使用了令牌,它就会失效。 这是执行此操作的代码:
在发送POST回复时,在rails中将这些参数添加到响应中:
def someMethod: result[:csrfParam] = request_forgery_protection_token result[:csrfToken] = form_authenticity_token render :json => result end
现在在JS方面,在每个POST方法的成功函数中,您可以调用此函数:
var setCsrfToken = function(param, token) { if(param == null || token == null) { console.error("New CSRF param/token not present"); } $("input[name='" + param + "']").val(token); }
像这样:
setCsrfToken(result["csrfParam"], result["csrfToken"]);
此函数将重置所有POST表单中的所有authenticity_token参数,以便下一个请求具有有效的标记。 您需要确保在每次POST调用中都会发生这种情况,否则您将继续面临此问题。
此外,CSRF不是为了防止点击劫持,它是一个单独的攻击,其他网站可以让用户点击一个链接,用你的会话在你的网站上执行一个动作。
@ user1555300的答案是正确的,只是提供详细信息。
在application_controller.rb
将其添加到顶部
before_filter :set_p3p
还添加此方法
private # for IE, Facebook, and iframe sessions def set_p3p headers['P3P'] = 'CP="ALL DSP COR CURa ADMa DEVa OUR IND COM NAV"' end
确保它在application_controller.rb
上,而不是常规控制器。