Des Rails, de la conception de l'authentification, CSRF problème

Je suis en train de faire un singe-la page de l'application à l'aide de Rails. Lors de la signature dans et hors de Concevoir des contrôleurs sont appelés à l'aide d'ajax. Le problème que je reçois est que quand j'1) connectez-vous 2) déconnecter, puis de signer à nouveau ne fonctionne pas.

Je pense que c'est lié à CSRF token qui est remis quand j'ai sign out (bien qu'il ne devrait pas autant que je sache) et depuis elle est seule page, l'ancien jeton CSRF est envoyé dans xhr demande donc de réinitialiser la session.

Être plus concret c'est le flux de travail:

Signe dans
Signe
Signe de la réussite 201. Cependant imprime WARNING: Can't verify CSRF token authenticity dans les journaux de serveur)
Ultérieure requête ajax échoue 401 non autorisé
Actualiser le site web (à ce stade, CSRF dans l'en-tête de page des modifications à autre chose)
Je peux vous connecter, il fonctionne, jusqu'à ce que j'essaie de vous déconnecter et de se reconnecter.

Des indices très apprécié! Laissez-moi savoir si je peux ajouter plus de détails.

Puis-je vous demander si vous pouvez répondre à cette question très semblable? stackoverflow.com/questions/50159847/...

InformationsquelleAutor vrepsys | 2012-08-07

36

Jimbo a fait un travail merveilleux en expliquant le "pourquoi" derrière le problème que vous rencontrez. Il existe deux approches que vous pouvez prendre pour résoudre le problème:
1. (Tel que recommandé par Jimbo) Remplacer Concevoir::SessionsController pour revenir à la nouvelle csrf token:
```
class SessionsController < Devise::SessionsController
  def destroy # Assumes only JSON requests
    signed_out = (Devise.sign_out_all_scopes ? sign_out : sign_out(resource_name))
    render :json => {
        'csrfParam' => request_forgery_protection_token,
        'csrfToken' => form_authenticity_token
    }
  end
end
```
  Et de créer un gestionnaire de succès pour votre sign_out demande sur le côté client (probablement besoin de quelques ajustements en fonction de votre configuration, par exemple, OBTENIR vs SUPPRIMER):
```
signOut: function() {
  var params = {
    dataType: "json",
    type: "GET",
    url: this.urlRoot + "/sign_out.json"
  };
  var self = this;
  return $.ajax(params).done(function(data) {
    self.set("csrf-token", data.csrfToken);
    self.unset("user");
  });
}
```
  Cela suppose également que vous êtes, y compris le jeton CSRF automatiquement avec toutes les requêtes AJAX avec quelque chose comme ceci:
```
$(document).ajaxSend(function (e, xhr, options) {
  xhr.setRequestHeader("X-CSRF-Token", MyApp.session.get("csrf-token"));
});
```
2. Beaucoup plus simplement, si c'est approprié pour votre application, vous pouvez simplement remplacer le Devise::SessionsController et remplacer le jeton de vérifier avec skip_before_filter :verify_authenticity_token.
- quelqu'un sait si cette question a été soulevée avec le dispositif des développeurs?
- #2 ne fonctionne pas pour moi parce que je suis le CSRF authenticité d'erreur après la signature de la via Concevoir/Ajax avec toute requête POST que je fais par la suite. Je suis également pas sûr de savoir comment rendre le nouveau csrf jetons parce que je suis déjà rendu un modèle à la dernière étape de mon :create action. J'ai fait une question à ce sujet ici (stackoverflow.com/questions/26640326/...) et voudrais vraiment l'apprécier si vous avez un moment pour le vérifier
- Il me semble avoir le même problème que vous, mais votre question a été supprimé. Avez-vous jamais à la comprendre?
- Puis-je vous demander si vous pouvez répondre à cette question très semblable? stackoverflow.com/questions/50159847/...
InformationsquelleAutor jredburn
31

Je viens de lancer dans ce type de problème. Il y a beaucoup de choses ici.

TL;DR - La raison de l'échec est que le jeton CSRF est associé à votre session sur le serveur (vous avez un serveur de session si vous êtes connecté ou déconnecté). Le jeton CSRF est inclus dans les DOM votre page à chaque chargement de page. Lors de la déconnexion de votre session est remise à zéro et n'a pas de jeton csrf. Normalement, une déconnexion redirige vers une autre page/action, ce qui vous donne un nouveau jeton CSRF, mais puisque vous êtes à l'aide d'ajax, vous devez le faire manuellement.
- Vous avez besoin de remplacer le dispositif SessionController::détruire méthode pour retourner votre nouveau jeton CSRF.
- Puis sur le côté client, vous devez définir un gestionnaire de succès pour votre déconnexion XMLHttpRequest. Dans ce gestionnaire, vous devez prendre ce nouveau jeton CSRF de la réponse et de le fixer dans votre dom:
  $('meta[name="csrf-token"]').attr('content', <NEW_CSRF_TOKEN>)
Explication plus Détaillée Vous avez probablement obtenu protect_from_forgery défini dans votre ApplicationController.rb fichier à partir duquel tous les autres contrôleurs de l'héritage (ce qui est assez commun je crois). protect_from_forgery effectue CSRF vérifie tous les non-GET HTML/Javascript demandes. Depuis Concevoir de Connexion est un POST, il effectue une CSRF Vérifier. Si une CSRF Vérification échoue, alors l'utilisateur de la session en cours est effacé, c'est à dire, les journaux de l'utilisateur, parce que le serveur suppose que c'est une attaque (qui est la bonne/comportement souhaité).

Donc, en supposant que vous êtes débutant dans un déconnecté de l'état, vous faites un frais de chargement de la page, et de ne jamais recharger à nouveau à la page:
1. Sur le rendu de la page: le serveur insère le Jeton CSRF associé à votre serveur de session dans la page. Vous pouvez consulter ce jeton en exécutant la commande suivante à partir d'une console javascript dans votre navigateur$('meta[name="csrf-token"]').attr('content').
2. Vous puis connectez-vous via un XMLHttpRequest: Votre Jeton CSRF reste inchangée à ce point pour que le Jeton CSRF dans votre Session est toujours conforme à celle qui a été inséré dans la page. Derrière les coulisses, sur le côté client, jquery-ujs est à l'écoute pour xhr et la fixation d'un "X-CSRF Token' en-tête avec la valeur de $('meta[name="csrf-token"]').attr('content') automatiquement pour vous (rappelez-vous c'était le Jeton CSRF défini à l'étape 1 par le serveur). Le serveur compare le Jeton dans l'en-tête par jquery-ujs et celui qui est stocké dans votre session d'information et qu'ils correspondent à la demande réussit.
3. Vous pouvez alors vous Connecter à l'aide d'un XMLHttpRequest: Cela réinitialise session, vous donne une nouvelle session sans un Jeton CSRF.
4. Vous puis connectez-vous à nouveau par le biais d'un XMLHttpRequest: jquery-ujs tire le jeton CSRF de la valeur de $('meta[name="csrf-token"]').attr('content'). Cette valeur est encore votre VIEUX jeton CSRF. Il prend ce vieux jeton et l'utilise pour définir le "X-CSRF Token'. Le serveur compare cette valeur d'en-tête avec un nouveau jeton CSRF qu'il ajoute à votre session, ce qui est différent. Cette différence provoque le protect_form_forgery à l'échec, qui jette le WARNING: Can't verify CSRF token authenticity et réinitialise votre session, qui enregistre l'utilisateur.
5. Vous puis faire un autre XMLHttpRequest qui nécessite que l'utilisateur connecté: La session en cours n'ont pas un utilisateur connecté afin de concevoir renvoie un 401.
Mise à jour: 8/14 Concevoir de déconnexion ne vous donne pas un nouveau jeton CSRF, la redirection qui se passe normalement après une déconnexion vous donne un nouveau jeton csrf.
- Une fois que j'ai trouver comment mettre en œuvre les deux mesures dans TL;DR je vais poster le code.
- CSRF-valeur de DOM n'est pas une bonne solution. À partir Angulaire de la Doc: $http > Depuis JavaScript qui s'exécute sur votre nom de domaine pourrait lire le cookie, votre serveur peut être assuré que le XHR est venu à partir de JavaScript en cours d'exécution sur votre domaine. L'en-tête ne sera pas réglée pour des requêtes inter-domaine.
- Je vais avoir ce même problème, mais dans mon travail, je ne suis jamais signer. Je ne peux pas effectuer le POST des actions à tous, après la signature de la via XHR. Donc, mon débit est signe de la nouvelle forme de widget via xhr (pas de csrf avertissement dans la console) -> essayez de soumettre une nouvelle forme de widget (csrf avertissement dans la console) -> signé et redirigé vers réguliers signe en forme. En fonction de la console, params[:authenticity_token] est le même lors de la demande xhr pour se connecter et le html #créer une demande. Toute l'aide ici??
- avez-vous étendre le Devise::SessionsController de retour de nouveau le courant csrf de jetons dans la :create et :destroy actions? Votre code client doit ensuite lire et définir ces nouvelles valeurs à partir de la réponse, et de les envoyer avec toutes les futures demandes. Si ce n'est pas clair, faites le moi savoir et je vais essayer de poster l'intégralité de notre actuellement de solution de travail plus tard (il peut me prendre un jour ou deux).
- Le problème que j'ai rencontré c'est que j'ai besoin de changer certaines choses sur la page après signin donc, je suis déjà rendu un .js.erb modèle que la dernière étape de mon :create action dans mon extension de SessionsController. Si j'ajoute un autre rendu de retour JSON, je vais faire un double de rendu d'erreur. Puis-je inclure le courant de jetons csrf dans le modèle et de le lire encore et de les mettre en quelque sorte? J'ai créé ma propre question qui montre que le contrôleur de ici: stackoverflow.com/questions/26640326/...
- Oh, dans ce cas, si vous ajoutez la ligne suivante à votre .js.erb fichier $('meta[name="csrf-token"]').attr('content', <%= new_csrf_token %>) vous pouvez définir le nouveau jeton csrf directement. Ensuite dans votre site javascript au chargement de la page, cela $.ajaxPrefilter( function(options, originalOptions, xhr) { xhr.setRequestHeader('X-CSRF-Token', $('meta[name="csrf-token"]').attr('content');}. C'est le dernier morceau de @jredburn de la première approche, qui envoie le jeton avec toutes les requêtes ajax.
- Je suis une sorte de suite à vous, mais pas entièrement. Dans mon application.js j'ai ajouté $(document).ajaxSend(function (e, xhr, options) { xhr.setRequestHeader('X-CSRF-Token', $('meta[name="csrf-token"]').attr('content')) }); et j'ai ajouté la ligne à mon .js.erb fichier, mais maintenant la requête Ajax de signer en obtient un 500 erreur car new_csrf_token est pas défini. Je suppose que je suis censé mettre quelque chose d'autre là-bas, mais quoi?
- désolé pour la pile des messages, mais je travaillais sur ce et est venu avec cette autre solution. Il semble fonctionner mais je ne sais pas ce que les questions qu'elle peut avoir. J'ai utilisé form_authenticity_token dans mon controller, puis ajouté les deux lignes suivantes à la .js.erb modèle de rendu: $('meta[name="csrf-token"]').attr('content', '<%= session["_csrf_token"] %>') $('input[name="authenticity_token"]').val('<%= session["_csrf_token"] %>')
- désolé, new_csrf_token était juste un espace réservé pour une variable qui contient les utilisateurs du nouveau jeton csrf, alors, oui, form_authenticity_token de sens. Ces deux lignes de bien paraître.
- Concernant votre $(document).ajaxSend ligne que vous avez ajouté à votre application.js. Vous devez vous assurer que la ligne se fait exécuter au chargement de la page.
InformationsquelleAutor plainjimbo
9

Ma réponse s'inspire fortement de deux @Jimbo et @Sija, cependant, je suis en utilisant le dispositif/angularjs convention a été suggéré à Rails de Protection CSRF + Angular.js: protect_from_forgery me fait déconnecter sur le POST, et d'élaborer un peu sur mon blog quand j'ai d'abord fait ce. C'est une méthode sur le contrôleur de l'application pour définir des cookies pour csrf:
```
after_filter  :set_csrf_cookie_for_ng

def set_csrf_cookie_for_ng
  cookies['XSRF-TOKEN'] = form_authenticity_token if protect_against_forgery?
end
```
Donc je suis en utilisant @Sija du format, mais en utilisant le code de ce plus tôt, AFIN de solution, ce qui me donne:
```
class SessionsController < Devise::SessionsController
  after_filter :set_csrf_headers, only: [:create, :destroy]

  protected
  def set_csrf_headers
    cookies['XSRF-TOKEN'] = form_authenticity_token if protect_against_forgery?  
  end
end
```
Pour être complet, car il m'a fallu quelques minutes pour s'en sortir, je note également la nécessité de modifier votre fichier config/routes.rb de déclarer que vous avez remplacé les séances de contrôleur. Quelque chose comme:
```
devise_for :users, :controllers => {sessions: 'sessions'}
```
C'était une partie d'un grand CSRF nettoyage que j'ai fait sur mon application, ce qui peut être intéressant pour les autres. Le blog est ici, les autres changements comprennent:

Sauvetage de ActionController::InvalidAuthenticityToken, ce qui signifie que si les choses se désynchroniser l'application va se fixer, plutôt que l'utilisateur n'ait à effacer les cookies. En l'état des choses dans les rails je pense que votre contrôleur d'application sera par défaut avec:
```
protect_from_forgery with: :exception
```
Dans cette situation, vous devez alors:
```
rescue_from ActionController::InvalidAuthenticityToken do |exception|
  cookies['XSRF-TOKEN'] = form_authenticity_token if protect_against_forgery?
  render :error => 'invalid token', {:status => :unprocessable_entity}
end
```
J'ai aussi eu la douleur avec des conditions de course et certaines interactions avec le timeoutable module à Concevoir, que j'ai commenté plus loin dans le billet de blog - en bref, vous devez envisager d'utiliser le active_record_store plutôt que cookie_store, et être prudent quant à l'émission de demandes parallèles à proximité de sign_in et sign_out actions.

InformationsquelleAutor PaulL
8

C'est mon point de vue:
```
class SessionsController < Devise::SessionsController
  after_filter :set_csrf_headers, only: [:create, :destroy]
  respond_to :json

  protected
  def set_csrf_headers
    if request.xhr?
      response.headers['X-CSRF-Param'] = request_forgery_protection_token
      response.headers['X-CSRF-Token'] = form_authenticity_token
    end
  end
end
```
Et sur le côté client:
```
$(document).ajaxComplete(function(event, xhr, settings) {
  var csrf_param = xhr.getResponseHeader('X-CSRF-Param');
  var csrf_token = xhr.getResponseHeader('X-CSRF-Token');

  if (csrf_param) {
    $('meta[name="csrf-param"]').attr('content', csrf_param);
  }
  if (csrf_token) {
    $('meta[name="csrf-token"]').attr('content', csrf_token);
  }
});
```
Qui va garder votre CSRF balises meta mis à jour chaque fois que vous retournez X-CSRF-Token ou X-CSRF-Param d'en-tête via une requête ajax.
- Merci, j'ai eu à utiliser de la chaîne d'interpolation lors de l'appel de request_forgery_protection_token et form_authenticity_token de mon contrôleur comme je l'ai été une erreur de ne pas pouvoir appeler split sur :authenticity_token:String... Mais cette technique fonctionne vraiment bien. Merci.
- C'est la bonne réponse, bien que je me demande au sujet des répercussions sur la sécurité de régénération d'une nouvelle fscc jeton. Vous devez ajouter si l'auto.demande.format.symbole == :json, par exemple, ou pour toute mime pour laquelle vous n'êtes pas la redirection
- J'ai mis à jour la réponse en fonction de votre suggestion. Bonne prise, merci!
- pourriez-vous montrer ce que vous avez fait? Je vais avoir un problème similaire. Obtenir Unexpected error while processing request: undefined method chaque " pour :authenticity_token:Symbole`
InformationsquelleAutor Sija
6

Après avoir insisté sur le Gardien de la source, j'ai remarqué que la mise sign_out_all_scopes à false arrêts de Gardien de l'effacement de l'ensemble de la session, de sorte que le jeton CSRF est conservé entre signe les aboutissants.

Discussion en Concevoir question à détente: https://github.com/plataformatec/devise/issues/2200
- Cette réponse a résolu la plupart de mes problèmes. Merci Lucas.
InformationsquelleAutor Lucas

J'ai juste ajouté ceci dans mon fichier de mise en page et il a travaillé

    <%= csrf_meta_tag %>

    <%= javascript_tag do %>
      jQuery(document).ajaxSend(function(e, xhr, options) {
       var token = jQuery("meta[name='csrf-token']").attr("content");
        xhr.setRequestHeader("X-CSRF-Token", token);
      });
    <% end %>

InformationsquelleAutor r15

0

De vérifier si vous avez inclus dans votre application.js fichier

//= besoin de jquery

//= nécessitent jquery_ujs

La raison en est, jquery-gem rails qui règle automatiquement le jeton CSRF sur toutes les requêtes Ajax par défaut, les besoins de ces deux
- Oui, j'ai obtenu ces. J'ai vérifié les demandes avec les outils de développement, ils ont tous CSRFs.
- Vérifiez si vous êtes se même jeton CSRF ou de jetons différents
- Cette solution fonctionne pour moi. Merci & Cordialement,
InformationsquelleAutor pdpMathi

Dans mon cas, après la connexion de l'utilisateur, j'ai besoin de redessiner l'utilisateur menu. Cela a fonctionné, mais j'ai eu CSRF authenticité des erreurs sur chaque requête au serveur, dans ce même article (sans actualisation de la page, bien sûr). Solutions ci-dessus ne fonctionnait pas comme je voulais rendre un js vue.

Ce que j'ai fait est-ce, à l'aide de Concevoir:

app/controllers/sessions_controller.rb

   class SessionsController < Devise::SessionsController
      respond_to :json

      # GET /resource/sign_in
      def new
        self.resource = resource_class.new(sign_in_params)
        clean_up_passwords(resource)
        yield resource if block_given?
        if request.format.json?
          markup = render_to_string :template => "devise/sessions/popup_login", :layout => false
          render :json => { :data => markup }.to_json
        else
          respond_with(resource, serialize_options(resource))
        end
      end

      # POST /resource/sign_in
      def create
        if request.format.json?
          self.resource = warden.authenticate(auth_options)
          if resource.nil?
            return render json: {status: 'error', message: 'invalid username or password'}
          end
          sign_in(resource_name, resource)
          render json: {status: 'success', message: '¡User authenticated!'}
        else
          self.resource = warden.authenticate!(auth_options)
          set_flash_message(:notice, :signed_in)
          sign_in(resource_name, resource)
          yield resource if block_given?
          respond_with resource, location: after_sign_in_path_for(resource)
        end
      end

    end

Après que j'ai fait une demande au contrôleur#action qui redessinent le menu. Et dans le javascript, j'ai modifié le X-CSRF-Param et X-CSRF Token:

app/views/utilitaires/redraw_user_menu.js.erb

  $('.js-user-menu').html('');
  $('.js-user-menu').append('<%= escape_javascript(render partial: 'shared/user_name_and_icon') %>');
  $('meta[name="csrf-param"]').attr('content', '<%= request_forgery_protection_token.to_s %>');
  $('meta[name="csrf-token"]').attr('content', '<%= form_authenticity_token %>');

J'espère que c'est utile pour quelqu'un sur le même js situation 🙂

InformationsquelleAutor JGutierrezC

0

Ma situation était encore plus simple. Dans mon cas, tout ce que je voulais faire, c'était ceci: si une personne est assise sur un écran avec un formulaire, et de leur session (Concevoir timeoutable d'expiration de la session), normalement, si ils ont frappé Soumettre à ce point, Concevoir permettrait de renvoyer dos à l'écran de connexion. Eh bien, je ne veux pas que, parce qu'ils perdent toutes leurs données de formulaire. J'utilise JavaScript pour attraper le formulaire de soumission, appel Ajax un contrôleur qui détermine si l'utilisateur n'est plus connecté, et si c'est le cas, j'ai mis en place un formulaire où ils retaper son mot de passe, et je authentifier leur (bypass_sign_in dans un contrôleur) à l'aide d'un appel Ajax. Le formulaire de soumission est autorisé à continuer.

Fonctionnait parfaitement jusqu'à ce que j'ai ajouté protect_from_forgery.

Alors, merci pour les réponses ci-dessus, tout ce que j'avais était vraiment dans mon contrôleur, où je signe à l'utilisateur de retourner dans (la bypass_sign_in) je viens de mettre une variable d'instance pour le nouveau jeton CSRF:
```
@new_csrf_token = form_authenticity_token
```
et puis dans le .js.erb qui a été rendu (car encore une fois, c'était un appel XHR):
```
$('meta[name="csrf-token"]').attr('content', '<%= @new_csrf_token %>');
$('input[type="hidden"][name="authenticity_token"]').val('<%= @new_csrf_token %>');
```
Le tour est joué. Ma page de formulaire, qui n'a pas été actualisée et, par conséquent, a été coincé avec l'ancien jeton, a maintenant un nouveau jeton de la nouvelle session que j'ai eu de la signature de mon utilisateur.

InformationsquelleAutor Jason Perrone
-1

en réponse à un commentaire de @sixty4bit; si vous rencontrez cette erreur:
```
Unexpected error while processing request: undefined method each for :authenticity_token:Symbol` 
```
remplacer
```
response.headers['X-CSRF-Param'] = request_forgery_protection_token
```
avec
```
response.headers['X-CSRF-Param'] = request_forgery_protection_token.to_s
```
- Cela peut répondre à la question dans le commentaire, mais ne devrait donc pas être une réponse à cette question. Je vous suggère de créer une nouvelle question qui renvoie à cette question et de la réponse auto avec cette réponse. Vous pouvez également ajouter un commentaire à cette question des liens vers votre nouvellement créé un
InformationsquelleAutor Egbert Veenstra

Vous devez vous connecter pour publier un commentaire.