Fi3*_*n1k 1 forms ruby-on-rails ruby-on-rails-4
我在Modal的Rails4中提交了一个表单.这个解决方案在Rails 3.x中运行良好
代码如下:
<div class="modal fade" id="copy-product-addons">
<div class="modal-dialog">
<div class="modal-content">
<div class="modal-header">
<button type="button" class="close" data-dismiss="modal">×</button>
<h4>Copy Add-Ons From:</h4>
</div>
<div class="modal-body">
<form id="addons-copy" method="POST" action="<%= copy_addons_product_path(@product) %>">
<%= select_tag "from", options_from_collection_for_select(@shop.enabled_products - [@product], 'id', 'name'), :class => "form-control %>
</form>
</div>
<div class="modal-footer">
<a href="#" class="btn btn-danger" data-dismiss="modal">Cancel</a>
<a href="#" onclick="$('#addons-copy').submit(); return false;" class="btn btn-primary">Copy Add-ons</a>
</div>
</div>
</div>
</div>
<% end %>
作为回复,它不是执行特定操作,而是通过登录我将其重定向到登录页面.
终端中的响应如下:
> Started POST "/products/10168/copy_addons" for 127.0.0.1 at 2016-01-10
> 21:19:10 +0100 Processing by ProductsController#copy_addons as HTML
> Parameters: {"from"=>"10130", "id"=>"10168"} Can't verify CSRF token
> authenticity Redirected to http://myr-d.dev/login Filter chain
> halted as :require_login rendered or redirected
谢谢
在Rails 4中,有些约定可以阻止针对HTML请求的CSRF攻击.这篇SO帖子很好地解释了一般概念: 理解Rails真实性令牌
看起来您的Controller正在检查CSRF令牌,但您的表单没有发送一个.这是因为您<form>在视图中使用了手动标记,该标记不包含所需的隐藏标记.
如果您使用Rails form_tag帮助方法,Rails将自动为您生成真实性令牌,然后将其作为表单的一部分发送:
<div class="modal-body">
<%= form_tag(copy_addons_product_path(@product), id: "addons-copy") do %>
<%= select_tag "from", options_from_collection_for_select(@shop.enabled_products - [@product], 'id', 'name'), :class => "form-control %>
<% end -%>
</div>
如果你检查将从中生成的HTML,你会看到一个隐藏的输入标记; 这样的事情:
<input name="authenticity_token" type="hidden" value="NrOp5bsjoLRuK8IW5+dQEYjKGUJDe7TQoZVvq95Wteg=" />
这是令牌作为表单的一部分发送的方式.然后,您的Controller会将其与当前令牌进行比较,以验证没有CSRF尝试,并且您不应再遇到此错误.
| 归档时间: |
|
| 查看次数: |
1040 次 |
| 最近记录: |