সতর্কতা: সিএসআরএফ টোকেন সত্যতা রেলগুলি যাচাই করতে পারে না

আমি এজেএক্সের সাথে নিয়ন্ত্রকের কাছে ভিউ থেকে ডেটা পাঠাচ্ছি এবং এই ত্রুটিটি পেয়েছি:

সতর্কতা: সিএসআরএফ টোকেন সত্যতা যাচাই করতে পারে না

আমি মনে করি আমাকে ডেটা সহ এই টোকেনটি প্রেরণ করতে হবে।

কেউ কি জানেন কীভাবে আমি এটি করতে পারি?

সম্পাদনা: আমার সমাধান

আমি এজেএক্স পোস্টের মধ্যে নিম্নলিখিত কোডটি রেখে এটি করেছি:

headers: {
  'X-Transaction': 'POST Example',
  'X-CSRF-Token': $('meta[name="csrf-token"]').attr('content')
},

আপনার এটি করা উচিত:

1. <%= csrf_meta_tag %>আপনার লেআউটে রয়েছে তা নিশ্চিত করুন

2. যোগ beforeSendসব করার জন্য নিচের মত হেডার সেট করতে Ajax অনুরোধ:

$.ajax({ url: 'YOUR URL HERE',
  type: 'POST',
  beforeSend: function(xhr) {xhr.setRequestHeader('X-CSRF-Token', $('meta[name="csrf-token"]').attr('content'))},
  data: 'someData=' + someData,
  success: function(response) {
    $('#someDiv').html(response);
  }
});

সমস্ত অনুরোধে টোকেন প্রেরণ আপনি ব্যবহার করতে পারেন:

$.ajaxSetup({
  headers: {
    'X-CSRF-Token': $('meta[name="csrf-token"]').attr('content')
  }
});

এটি <%= form_authenticity_token.to_s %>করার সর্বোত্তম উপায়টি হ'ল সরাসরি আপনার রেল কোডে টোকন প্রিন্ট করতে ব্যবহার করা। সিএসআরএফ টোকেনের জন্য অন্যান্য পোস্টগুলির উল্লেখ হিসাবে ডোম অনুসন্ধান করার জন্য আপনাকে জাভাস্ক্রিপ্ট ব্যবহার করতে হবে না। কেবল নীচের মতো শিরোনাম বিকল্প যুক্ত করুন;

$.ajax({
  type: 'post',
  data: $(this).sortable('serialize'),
  headers: {
    'X-CSRF-Token': '<%= form_authenticity_token.to_s %>'
  },
  complete: function(request){},
  url: "<%= sort_widget_images_path(@widget) %>"
})

যদি আমি সঠিকভাবে মনে রাখি তবে এই সমস্যা থেকে মুক্তি পেতে আপনাকে আপনার ফর্মটিতে নিম্নলিখিত কোডটি যুক্ত করতে হবে:

<%= token_tag(nil) %>

প্যারামিটারটি ভুলে যাবেন না।

সত্যই সহজ উপায়। শিরোনাম পরিবর্তন করে বিরক্ত করবেন না।

নিশ্চিত করো যে তোমার আছে:

<%= csrf_meta_tag %> in your layouts/application.html.erb

ঠিক এর মতো একটি লুকানো ইনপুট ক্ষেত্রটি করুন:

<input name="authenticity_token" 
               type="hidden" 
               value="<%= form_authenticity_token %>"/>

অথবা আপনি যদি jQuery এজ্যাক্স পোস্ট চান:

$.ajax({     
    type: 'POST',
    url: "<%= someregistration_path %>",
    data: { "firstname": "text_data_1", "last_name": "text_data2", "authenticity_token": "<%= form_authenticity_token %>" },                                                                                  
    error: function( xhr ){ 
      alert("ERROR ON SUBMIT");
    },
    success: function( data ){ 
      //data response can contain what we want here...
      console.log("SUCCESS, data="+data);
    }
});

সিএসআরএফ মেটা ট্যাগ সহ কোনও পুরানো অ্যাপ্লিকেশন থেকে 3.1 রেলগুলিতে আপগ্রেড করা এখনও এটিকে সমাধান করছে না। রুবিওনরইলস.আরোগ.আরোগ ব্লগে, তারা কিছু আপগ্রেড টিপস দেয় এবং বিশেষত এই জেকুরির লাইনটি যা আপনার লেআউটের প্রধান অংশে যেতে হবে:

$(document).ajaxSend(function(e, xhr, options) {
 var token = $("meta[name='csrf-token']").attr("content");
  xhr.setRequestHeader("X-CSRF-Token", token);
});

এই ব্লগ পোস্ট থেকে নেওয়া: http://weblog.rubyonrails.org/2011/2/8/csrf-protication-bypass-in-ruby-on-rails ।

আমার ক্ষেত্রে, প্রতিটি এজাক্স অনুরোধের ভিত্তিতে সেশনটি পুনরায় সেট করা হচ্ছে। উপরের কোড যুক্ত করা সমস্যার সমাধান করেছে।

1. <%= csrf_meta_tag %>আপনার লেআউটে রয়েছে তা নিশ্চিত করুন
2. beforeSendশিরোনাম সেট করার জন্য এজ্যাক্স অনুরোধে সিএসআরএফ-টোকেন অন্তর্ভুক্ত করতে একটি যুক্ত করুন । এটি কেবল postঅনুরোধের জন্য প্রয়োজনীয় ।

সিএসআরএফ-টোকেন পড়ার কোডটি পাওয়া যায় rails/jquery-ujs, সুতরাং কেবলমাত্র এটি ব্যবহার করা সবচেয়ে সহজ, নীচে:

$.ajax({
  url: url,
  method: 'post',
  beforeSend: $.rails.CSRFProtection,
  data: {
    // ...
  }
})

আমি কেবল ভেবেছিলাম যে এটিকে এখানে যুক্ত করব কারণ নিবন্ধটিতে আপনার সন্ধানের বেশিরভাগ উত্তর রয়েছে এবং এটি খুব আকর্ষণীয়

http://www.kalzumeus.com/2011/11/17/i-saw-an-extremely-subtle-bug-today-and-i-just-have-to-tell-someone/

এখানে শীর্ষস্থানীয় ভোট দেওয়া উত্তরগুলি সঠিক তবে আপনি ক্রস-ডোমেন অনুরোধগুলি সম্পাদন করা হলে কাজ করবে না কারণ আপনি jQuery কে সেশন কুকি স্পষ্টভাবে না বললে সেশনটি উপলব্ধ হবে না। এটি কীভাবে করা যায় তা এখানে:

$.ajax({ 
  url: url,
  type: 'POST',
  beforeSend: function(xhr) {
    xhr.setRequestHeader('X-CSRF-Token', $('meta[name="csrf-token"]').attr('content'))
  },
  xhrFields: {
    withCredentials: true
  }
});

আপনি নীচের মত এটি বিশ্বব্যাপী লিখতে পারেন।

সাধারণ জেএস:

$(function(){

    $('#loader').hide()
    $(document).ajaxStart(function() {
        $('#loader').show();
    })
    $(document).ajaxError(function() {
        alert("Something went wrong...")
        $('#loader').hide();
    })
    $(document).ajaxStop(function() {
        $('#loader').hide();
    });
    $.ajaxSetup({
        beforeSend: function(xhr) {xhr.setRequestHeader('X-CSRF-Token', $('meta[name="csrf-token"]').attr('content'))}
    });
});

কফি স্ক্রিপ্ট:

  $('#loader').hide()
  $(document).ajaxStart ->
    $('#loader').show()

  $(document).ajaxError ->
    alert("Something went wrong...")
    $('#loader').hide()

  $(document).ajaxStop ->
    $('#loader').hide()

  $.ajaxSetup {
    beforeSend: (xhr) ->
      xhr.setRequestHeader('X-CSRF-Token', $('meta[name="csrf-token"]').attr('content'))
  }

ওহো ..

আমি আমার আবেদন.js এ নিম্নলিখিত লাইনটি মিস করেছি

//= require jquery_ujs

আমি এটি এবং এর কাজ প্রতিস্থাপন করেছি ..

======= আপডেট ==========

5 বছর পরে, আমি একই ত্রুটির সাথে ফিরে এসেছি, এখন আমার কাছে রয়েছে নতুন রেলগুলি 5.1.6 এবং আমি আবার এই পোস্টটি পেয়েছি। জীবনের বৃত্তের মতোই।

এখন সমস্যাটি কী ছিল: জেলগুলি 5.1 ডিফল্টভাবে jquery এবং jquery_ujs সমর্থন সরিয়ে নিয়েছে এবং যুক্ত হয়েছে

//= require rails-ujs in application.js

এটি নিম্নলিখিত জিনিসগুলি করে:

1. বিভিন্ন ক্রিয়াকলাপের জন্য জোরপূর্বক নিশ্চিতকরণ ডায়ালগ;
2. হাইপারলিঙ্কগুলি থেকে নন-জিইটি অনুরোধ করুন;
3. ফর্মগুলি তৈরি করুন বা হাইপারলিঙ্কগুলি আজাক্সের সাথে অ্যাসিঙ্ক্রোনালি ডেটা জমা দিন;
4. ডাবল-ক্লিকিং রোধ করার জন্য জমা দেওয়া বোতামগুলি ফর্ম জমা দিতে স্বয়ংক্রিয়ভাবে অক্ষম হয়ে গেছে। (থেকে: https://github.com/rails/rails-ujs/tree/master )

তবে কেন এটি এজাক্স অনুরোধের জন্য সিএসআরএফ টোকেনকে অন্তর্ভুক্ত করছে না? কেউ যদি এ সম্পর্কে বিস্তারিত জানেন তবে কেবল আমার মন্তব্য করুন। আমি ওটার তারিফ করি.

যাইহোক আমি এটিকে কাজ করতে আমার কাস্টম জেএস ফাইলটিতে নিম্নলিখিতগুলি যুক্ত করেছি (আমাকে এই কোডে পৌঁছাতে সহায়তা করার জন্য অন্যান্য উত্তরের জন্য ধন্যবাদ):

$( document ).ready(function() {
  $.ajaxSetup({
    headers: {
      'X-CSRF-Token': Rails.csrfToken()
    }
  });
  ----
  ----
});

আপনি jQuery ব্যবহার না করেন তাহলে এরকম কিছু ব্যবহার আনা অনুরোধ জন্য API আপনি পেতে নিম্নলিখিত ব্যবহার করতে পারেন csrf-token:

document.querySelector('meta[name="csrf-token"]').getAttribute('content')

fetch('/users', {
  method: 'POST',
  headers: {
    'Accept': 'application/json',
    'Content-Type': 'application/json',
    'X-CSRF-Token': document.querySelector('meta[name="csrf-token"]').getAttribute('content')},
    credentials: 'same-origin',
    body: JSON.stringify( { id: 1, name: 'some user' } )
    })
    .then(function(data) {
      console.log('request succeeded with JSON response', data)
    }).catch(function(error) {
      console.log('request failed', error)
    })

Jquery.csrf ( https://github.com/swordray/jquery.csrf ) ব্যবহার করুন ।

• 5.1 বা তার পরে এর কক্ষগুলি

  $ yarn add jquery.csrf

  //= require jquery.csrf

• 5.0 বা তার আগে এর পিলগুলি

  source 'https://rails-assets.org' do
    gem 'rails-assets-jquery.csrf'
  end

  //= require jquery.csrf

• সোর্স কোড

  (function($) {
    $(document).ajaxSend(function(e, xhr, options) {
      var token = $('meta[name="csrf-token"]').attr('content');
      if (token) xhr.setRequestHeader('X-CSRF-Token', token);
    });
  })(jQuery);

আপনি যদি আপনার ফর্মের টোকেন তৈরি করতে jQuery সহ জাভাস্ক্রিপ্ট ব্যবহার করছেন তবে এটি কাজ করে:

<input name="authenticity_token" 
       type="hidden" 
       value="<%= $('meta[name=csrf-token]').attr('content') %>" />

স্পষ্টতই, আপনার <%= csrf_meta_tag %>আপনার রুবি বিন্যাসে থাকা দরকার।

আপনার যেগুলির জন্য একটি নন jQuery উত্তর প্রয়োজন তাদের জন্য আপনি নিম্নলিখিতগুলি যুক্ত করতে পারেন:

xmlhttp.setRequestHeader ('এক্স-সিএসআরএফ-টোকেন', $ ('মেটা [নাম = "সিএসআরএফ-টোকেন"]')। অ্যাটর ('সামগ্রী'));

খুব সাধারণ উদাহরণ এখানে সেন হতে পারে:

xmlhttp.open ( "পোষ্ট", "example.html", সত্য);
xmlhttp.setRequestHeader ('এক্স-সিএসআরএফ-টোকেন', $ ('মেটা [নাম = "সিএসআরএফ-টোকেন"]')। অ্যাটর ('সামগ্রী'));
xmlhttp.send ();

আমি এই সমস্যাটি নিয়ে কয়েকদিন লড়াই করেছি। কোনও জিইটি কল সঠিকভাবে কাজ করছে, তবে সমস্ত পুটগুলি একটি "সিএসআরএফ টোকেন সত্যতা যাচাই করতে পারে না" ত্রুটি উত্পন্ন করবে। আমি nginx এ একটি এসএসএল সার্টি যুক্ত না করা পর্যন্ত আমার ওয়েবসাইটটি ঠিকঠাক কাজ করছিল।

অবশেষে আমি আমার এনজিএনএক্স সেটিংসে এই হারিয়ে যাওয়া লাইনে হোঁচট খেয়েছি:

location @puma { 
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 
    proxy_set_header Host $http_host; 
    proxy_redirect off;
    proxy_set_header X-Forwarded-Proto https;   # Needed to avoid 'WARNING: Can't verify CSRF token authenticity'
    proxy_pass http://puma; 
}

"প্রক্সি_সেট_হেডার এক্স-ফরওয়ার্ড-প্রোটো https;" অন্তর্ভুক্ত করার পরে, আমার সমস্ত সিএসআরএফ টোকন ত্রুটি ছেড়ে গেছে।

আশা করি এটি অন্য কাউকে সহায়তা করে যারা প্রাচীরের বিরুদ্ধেও মাথা পিটিয়ে চলেছে। হা হা

যদি কারও যদি আপলোড এবং রেল ৩.২ (যেমন আমি এই পোস্টটি গুগল করেছিলাম তখন আমার মতো) সম্পর্কিত সাহায্যের প্রয়োজন হয়, এই নমুনা অ্যাপটি সহায়ক হতে পারে: https://github.com/n0ne/Uploadify- ক্যারিয়ার ওয়েভ- রেইলস ৩.২.৩ / ব্লব / মাস্টার /app/views/pictures/index.html.erb

এছাড়াও এই অ্যাপ্লিকেশনটিতে নিয়ামক সমাধান পরীক্ষা করে দেখুন

আমি 4.2.4 কিল ব্যবহার করছি এবং কেন পাচ্ছি তা কার্যকর করতে পারছি না:

Can't verify CSRF token authenticity

আমার লেআউটে রয়েছে:

<%= csrf_meta_tags %>

নিয়ামকটিতে:

protect_from_forgery with: :exception

ইনভোকিং শিরোনামটি tcpdump -A -s 999 -i lo port 3000সেট করা হচ্ছে তা দেখানো হয়েছে (শিরোনামগুলি সেট করার দরকার নেই সত্ত্বেও ajaxSetup- এটি ইতিমধ্যে হয়ে গেছে):

X-CSRF-Token: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
DNT: 1
Content-Length: 125
authenticity_token=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

শেষ পর্যন্ত এটি ব্যর্থ হয়েছিল কারণ আমার কুকিগুলি বন্ধ ছিল। সিএসআরএফ কুকিজ সক্ষম না করা ছাড়া কাজ করে না, সুতরাং যদি আপনি এই ত্রুটিটি দেখেন তবে এটি অন্য সম্ভাব্য কারণ।