iframe导致无法validationCSRF令牌真实性n Rails

我有一个使用phonegap 2.3.0 for Windows Phone 8 SDK通过iframe加载的webapp。 通过iframe加载它的问题是,当我发送$.post()请求时,它导致Can't verify CSRF token authencity在Rails端Can't verify CSRF token authencity

我尝试了几种方法,例如覆盖$.post()以使用$.ajax()来使用令牌的setHeaderRequest ,以及$.ajaxSetup()

当我禁用protect_from_forgeryverify_authenticity_token ,应用程序会正确加载。

我认为问题的原因是因为webapp位于另一个域(跨域问题),而csrf只是试图阻止点击劫持。 有办法绕过这个问题吗?

以下是我发布的示例: 

  $.post(url, {app: {played: tiles}, no: no}, function (response) { linkTo('#app_button', response['next']); });

例: 

  $.ajaxSetup({ beforeSend: function(xhr) { xhr.setRequestHeader('X-CSRF-Token', $('meta[name="csrf-token"]').prop('content')); } });

编辑:我已经能够将真实性令牌作为参数传递到我的发布请求中,并出现相同的错误。 我开始相信错误不是由令牌引起的。 错误发生的其他原因是什么?

日志: 

 [2539 - 2013/03/06 15:37:42] (INFO) Parameters: {"app"=>{"played"=>"tiles"}, "no"=>"no", "authenticity_token"=>"yBpUImzjtKGIejh/WCekv/GCi1zjPirib22plqfLJ1Y="} [2539 - 2013/03/06 15:37:42] (WARN) WARNING: Can't verify CSRF token authenticity [2539 - 2013/03/06 15:37:42] (INFO) User agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 920) [2539 - 2013/03/06 15:37:42] (DEBUG) User Load (1.8ms) SELECT `users`.* FROM `users` WHERE `users`.`id` IS NULL LIMIT 1 [2539 - 2013/03/06 15:37:42] (DEBUG) CACHE (0.0ms) SELECT `users`.* FROM `users` WHERE `users`.`id` IS NULL LIMIT 1 [2539 - 2013/03/06 15:37:42] (DEBUG) CACHE (0.0ms) SELECT `users`.* FROM `users` WHERE `users`.`id` IS NULL LIMIT 1 [2539 - 2013/03/06 15:37:42] (WARN) Lost session [118.143.97.82] (/locations/1/games) - Mozilla/5.0 (compatible; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 920) [2539 - 2013/03/06 15:37:42] (DEBUG) CACHE (0.0ms) SELECT `users`.* FROM `users` WHERE `users`.`id` IS NULL LIMIT 1

答案是因为没有阻止会话存储的P3P标头。 您需要添加一个P3P标头来解决此问题。

将此隐藏字段添加到表单中。 我修复了“无法validationCSRF令牌真实性”的相同问题

您可以关闭某些控制器操作的CSRF。 您可以为AJAX调用创建一个新操作(假设iframe)并添加到控制器中: 

 skip_before_filter :verify_authenticity_token, :only => [:iframe]

问题是您需要在Ajax POST请求之后获取新令牌,因为一旦使用了令牌,它就会失效。 这是执行此操作的代码:

在发送POST回复时,在rails中将这些参数添加到响应中: 

 def someMethod: result[:csrfParam] = request_forgery_protection_token result[:csrfToken] = form_authenticity_token render :json => result end

现在在JS方面,在每个POST方法的成功函数中,您可以调用此函数: 

 var setCsrfToken = function(param, token) { if(param == null || token == null) { console.error("New CSRF param/token not present"); } $("input[name='" + param + "']").val(token); }

像这样: 

 setCsrfToken(result["csrfParam"], result["csrfToken"]);

此函数将重置所有POST表单中的所有authenticity_token参数,以便下一个请求具有有效的标记。 您需要确保在每次POST调用中都会发生这种情况,否则您将继续面临此问题。

此外,CSRF不是为了防止点击劫持,它是一个单独的攻击,其他网站可以让用户点击一个链接,用你的会话在你的网站上执行一个动作。

@ user1555300的答案是正确的,只是提供详细信息。

application_controller.rb将其添加到顶部

before_filter :set_p3p

还添加此方法 

 private # for IE, Facebook, and iframe sessions def set_p3p headers['P3P'] = 'CP="ALL DSP COR CURa ADMa DEVa OUR IND COM NAV"' end

确保它在application_controller.rb上,而不是常规控制器。

    Interesting Posts

    是否有可能使application / json的跨域POST ajax请求?

    带有CSRF的Symfony2表单通过JQuery AJAX传递

    Laravel 4 CSRF表单通过Ajax调用提交

    我的jquery AJAX POST请求无需发送真实性令牌(Rails)

    将csrf标记传递给blueimp fileupload

    我是否需要jQuery .ajax()的CSRF令牌?

    如何在表单的AJAX post请求中传递CSRF令牌?

    jQuery:为Django设置CSRF令牌无法正常工作

    Rails 3.1 – CSRF被忽略了吗?

    如何将CSRF字段添加到使用jquery生成的表单中。(Laravel 5)