Mat*_*ani 2 ajax ruby-on-rails ujs ruby-on-rails-3
我正在提交一个简单的ajax删除请求,如下所示:
#invitation_actions
=link_to "delete", invitation_path(invitation), :method=>:delete, :remote=>true, :class=>"remove", :confirm=>'Are you sure you?'
请注意,由于所有页面中都包含csrf_meta_tag标记,包含请求的页面包含authenticity_token.
当我查看日志时,我看到删除请求缺少authenticity_token:
在2011-04-22 11:21:21 -0700开始DELETE"/ invitations/5"for 127.0.0.1在InvitationsController处理#dump as参数:{"id"=>"5"}
现在,如果我从代码中删除":remote =>:true",即我执行常规页面加载删除工作,我在日志文件中看到以下内容:
在2011-04-22 12:52:19 -0700开始POST"/ invitations/10"for 127.0.0.1在InvitationsController处理#Drown as HTML参数:{"authenticity_token"=>"qlT8uX/WGQeOQSmVZzw1v8rFdSTHDRbzNY0zpSc9mV0 =","id" => "5"}
为什么它是AJAX案例中的DELETE和非AJAX案例中的POST?为什么DELETE不包含authenticity_token?
谢谢你的帮助.
您的问题(我能想到)的第一个可能原因是,如果您的UJS脚本超过几个月,您可能需要将其更新到最新版本,以便您的应用程序使用AJAX发送真实性令牌要求.
行为的这种变化发生在2011年2月,这意味着所有Rails UJS脚本都必须更新:
http://groups.google.com/group/rubyonrails-security/browse_thread/thread/2d95a3cc23e03665
问题的第二部分询问在非AJAX情况下用于删除的HTTP POST动词.这是因为Rails必须模拟REST表单处理,因为浏览器不实现所有4个HTTP谓词,例如GET,POST,PUT和DELETE,因为这些谓词在HTML中无效.
JavaScript(AJAX)可以做真实的事情,因为它控制发送到AJAX端点的标头.