InvalidAuthenticityToken当CSRF令牌不匹配时,Rails会引发一个.但是,从阅读来源,我无法弄清楚这是如何实际发生的.我首先为该类修饰树:
$ ack --ignore-dir=test InvalidAuthenticityToken
actionpack/lib/action_controller/metal/request_forgery_protection.rb
4: class InvalidAuthenticityToken < ActionControllerError #:nodoc:
17: # which will check the token and raise an ActionController::InvalidAuthenticityToken
actionpack/lib/action_dispatch/middleware/show_exceptions.rb
22: 'ActionController::InvalidAuthenticityToken' => :unprocessable_entity
只有两次点击,忽略了评论.第一个是类定义:
class InvalidAuthenticityToken < ActionControllerError #:nodoc:
end
第二个是将异常转换为HTTP状态代码.通过调用protect_from_forgery控制器来启用CSRF保护,让我们看一下:
def protect_from_forgery(options = {})
self.request_forgery_protection_token ||= :authenticity_token
before_filter :verify_authenticity_token, options
end
它添加了一个过滤器:
def verify_authenticity_token
verified_request? || handle_unverified_request
end
验证失败时会调用此函数:
def handle_unverified_request
reset_session
end
那么InvalidAuthenticityToken实际上是如何提出的?