রেলস: কোনও পোষ্ট অনুরোধ করার সময় সিএসআরএফ টোকেন সত্যতা যাচাই করতে পারে না

আমি POST requestআমার স্থানীয় দেবকে এইভাবে তৈরি করতে চাই:

  HTTParty.post('http://localhost:3000/fetch_heroku',
                :body => {:type => 'product'},)

তবে সার্ভার থেকে এটি রিপোর্ট করে reports

Started POST "/fetch_heroku" for 127.0.0.1 at 2016-02-03 23:33:39 +0800
  ActiveRecord::SchemaMigration Load (0.0ms)  SELECT "schema_migrations".* FROM "schema_migrations"
Processing by AdminController#fetch_heroku as */*
  Parameters: {"type"=>"product"}
Can't verify CSRF token authenticity
Completed 422 Unprocessable Entity in 1ms

এখানে আমার নিয়ামক এবং রুট সেটআপ, এটি বেশ সহজ।

  def fetch_heroku
    if params[:type] == 'product'
      flash[:alert] = 'Fetch Product From Heroku'
      Heroku.get_product
    end
  end

  post 'fetch_heroku' => 'admin#fetch_heroku'

আমি নিশ্চিত যে আমার কী করা দরকার? সিএসআরএফ বন্ধ করা অবশ্যই কাজ করবে তবে আমি মনে করি এ জাতীয় এপিআই তৈরি করার সময় এটি আমার ভুল হওয়া উচিত।

আমার আর কোন সেটআপ করার দরকার নেই?

ক্রস সাইটের অনুরোধ জালিয়াতি (সিএসআরএফ / এক্সএসআরএফ) হ'ল যখন কোনও দূষিত ওয়েব পেজ ব্যবহারকারীরা অনুরোধ সম্পাদন করতে কৌশল করে যা উদাহরণস্বরূপ বুকমার্কলেট, আইফ্রেম ব্যবহার করে বা কেবল এমন একটি পৃষ্ঠা তৈরি করে যা ব্যবহারকারীদের বোকামির জন্য দৃশ্যত যথেষ্ট অনুরূপ হয়।

পাগল CSRF সুরক্ষা "শাস্ত্রীয়" ওয়েব অ্যাপ্লিকেশানগুলি জন্য তৈরি করা হয় - এটা কেবল আশ্বাস একটি ডিগ্রী যে অনুরোধ আপনার নিজস্ব ওয়েব অ্যাপ্লিকেশন থেকে সম্ভূত দেয়। একটি সিএসআরএফ টোকেন একটি গোপনের মতো কাজ করে যা কেবল আপনার সার্ভারই ​​জানে - রেলগুলি একটি এলোমেলো টোকেন উত্পন্ন করে এবং এটি সেশনে সংরক্ষণ করে। আপনার ফর্মগুলি একটি লুকানো ইনপুটের মাধ্যমে টোকেন প্রেরণ করে এবং রেলগুলি যাচাই করে যে কোনও জিইটি-র অনুরোধে একটি টোকেন অন্তর্ভুক্ত রয়েছে যা সেশনে সংরক্ষিত রয়েছে তার সাথে মেলে।

তবে একটি এপিআই সাধারণত সংজ্ঞা ক্রস সাইট দ্বারা হয় এবং এটি আপনার ওয়েব অ্যাপের চেয়ে বেশি ব্যবহৃত হতে পারে যার অর্থ সিএসআরএফের পুরো ধারণাটি যথেষ্ট প্রযোজ্য নয়।

পরিবর্তে আপনার একটি API কী এবং গোপনের সাথে এপিআই অনুরোধগুলি প্রমাণীকরণের একটি টোকেন ভিত্তিক কৌশল ব্যবহার করা উচিত কারণ আপনি যাচাই করছেন যে অনুরোধটি অনুমোদিত API ক্লায়েন্টের কাছ থেকে এসেছে - আপনার নিজের অ্যাপ থেকে নয়।

@ ডেসটরি দ্বারা চিহ্নিত হিসাবে আপনি সিএসআরএফ নিষ্ক্রিয় করতে পারেন:

class ApiController < ActionController::Base
  protect_from_forgery with: :null_session
end

আপডেট হয়েছে। 5 রেলগুলিতে আপনি কেবলমাত্র --apiঅপশনটি ব্যবহার করে এপিআই তৈরি করতে পারেন :

rails new appname --api

তারা সিএসআরএফ মিডলওয়্যার এবং আরও অনেক উপাদান যা সুপারফ্লাউস অন্তর্ভুক্ত করে না।

• http://guides.rubyonrails.org/security.html#cross-site-request-forgery-csrf
• https://labs.kollegorna.se/blog/2015/04/build-an-api- હવે/
• সতর্কতা: সিএসআরএফ টোকেন সত্যতা রেলগুলি যাচাই করতে পারে না

সিএসআরএফ বন্ধ করার আরেকটি উপায় যা নাল সেশনটি সরবরাহ করে না তা যুক্ত করা হল:

skip_before_action :verify_authenticity_token

আপনার রেল কন্ট্রোলারে। এটি নিশ্চিত করবে আপনার এখনও সেশন তথ্য অ্যাক্সেস আছে।

আবার, নিশ্চিত হয়ে নিন যে আপনি এটি কেবলমাত্র API কন্ট্রোলারগুলিতে বা অন্যান্য জায়গাগুলিতে যেখানে সিএসআরএফ সুরক্ষা যথেষ্ট প্রয়োগ হয় না do

Api.rubyonrails.org এপিআই কন্ট্রোলারের ক্ষেত্রে সিএসআরএফের একটি কনফিগারেশন সম্পর্কিত প্রাসঙ্গিক তথ্য রয়েছে :

⋮

এটি মনে রাখা জরুরী যে এক্সএমএল বা জেএসওন অনুরোধগুলিও প্রভাবিত হয়েছে এবং আপনি যদি একটি এপিআই বানাচ্ছেন তবে আপনার জালিয়াতি সুরক্ষা পদ্ধতিটি ApplicationController(ডিফল্টরূপে :exception) পরিবর্তন করা উচিত :

class ApplicationController < ActionController::Base
  protect_from_forgery unless: -> { request.format.json? }
end

আমরা এপিআইগুলির জন্য সিএসআরএফ সুরক্ষা অক্ষম করতে চাইতে পারি কারণ সেগুলি সাধারণত রাজ্য-কম করার জন্য ডিজাইন করা হয়। অর্থাত, অনুরোধ এপিআই ক্লায়েন্টটি আপনার জন্য রেলের পরিবর্তে সেশনটি পরিচালনা করবে।

⋮

5 টি রেল হিসাবে আপনি :: বেসের পরিবর্তে :: এপিআই দিয়ে একটি নতুন ক্লাস তৈরি করতে পারেন

class ApiController < ActionController::API
end

আপনি যদি নমুনা নিয়ন্ত্রকের নমুনা ক্রিয়াটি বাদ দিতে চান

class TestController < ApplicationController
  protect_from_forgery :except => [:sample]

  def sample
　　　　　render json: @hogehoge
  end
end

আপনি কোনও সমস্যা ছাড়াই বাইরে থেকে অনুরোধগুলি প্রক্রিয়া করতে পারেন।

সমস্যার সহজতম সমাধান হ'ল আপনার নিয়ামকের মধ্যে স্ট্যান্ডার্ড জিনিসগুলি করা বা আপনি সরাসরি এটিকে অ্যাপ্লিকেশন নিয়ন্ত্রণকারীতে রাখতে পারেন

class ApplicationController < ActionController::Base protect_from_forgery with: :exception, prepend: true end

আপনি যদি কেবল এক বা একাধিক নিয়ামক ক্রিয়াকলাপের জন্য (পুরো নিয়ামকের পরিবর্তে) সিএসআরএফ সুরক্ষাটি এড়াতে চান তবে এটি চেষ্টা করে দেখুন

skip_before_action :verify_authenticity_token, only [:webhook, :index, :create]

[:webhook, :index, :create]এই 3 টি ক্রিয়াকলাপের জন্য চেকটি কোথায় এড়িয়ে যাবে, তবে আপনি যে কোনওটি এড়িয়ে যেতে চান তাতে পরিবর্তন করতে পারবেন