Rails - Comment ajouter une Protection CSRF pour les formulaires créés en javascript?

Je suis en utilisant backbone.js et il fonctionne très bien. mais les formes, je suis la création de javascript modèle manque de rails de protection csrf token. Comment puis-je ajouter pour les modèles que je crée en javascript?

InformationsquelleAutor CamelCamelCamel | 2011-12-14
  1. 32

    Si vous avez <%= csrf_meta_tag %> dans votre mise en page quelque part et qui est accessible à partir de la js, alors vous pouvez y accéder à l'aide $('meta[name="csrf-token"]')

    Voir http://eunikorn.blogspot.com/2011/07/working-with-backbonejs-in-harmony-with.html pour avoir une idée sur comment pirater au csrf de la prise en charge de chaque épine dorsale demande

    • Voir gist.github.com/3482636 pour un autre exemple de la façon dont cela peut être piraté en. Je n'ai aucune idée si c'est la même chose.
    • Ouais concept est le même.
    • Plus précisément: $.ajax(data: {authenticity_token: $('meta[name="csrf-token"]').attr("content")})
    InformationsquelleAutor Thong Kuah
  2. 65

    Meilleure façon que j'ai résolu ce, à l'intérieur de la forme:

    <%= hidden_field_tag :authenticity_token, form_authenticity_token %>
    • Il fonctionne, mais pourquoi? N'est-ce pas form_authenticity_token privé dans le contrôleur?
    • Cela ne marche pas pour moi Rails 4.2.2. J'obtiens: undefined local variable or method 'form_authenticity_token' for #<#<Class:0x007ff80b1d36d8>:0x007ff7eec39b58>
    • Hé les gars, semble comme form_authenticity_token est privé pour les contrôleurs tels que Franklin a dit. Ce que j'ai vu comme une suggestion a été de déclarer une variable dans un contrôleur @form_token = form_authenticity_token et de l'utiliser dans la vue.
    • Cela fonctionne pour moi dans les rails 4.2.5. Remarque: ce formulaire a été généré dans ERB et pas en JS.
    InformationsquelleAutor lucianosousa
  3. 4

    Vous pouvez ajouter le jeton csrf pour chaque formulaire qui utilise la 'post' ou 'supprimer'. Ici, il est en coffeescript:

    $ -> 
  for f in $("form")
    if f.method == 'post' or f.method == 'delete'
      $(f).prepend("<input type='hidden' name='authenticity_token' value='" + token + "'>")

    Assurez-vous que vous avez <%= csrf_meta_tags %> dans votre mise en page. Il devrait déjà être dans la norme de l '"application" de mise en page, mais de l'ajouter si vous utilisez une mise en page différente.

    • Où est token déclaré?
    • Ce que @suga_shane signifie par écrit, "assurez-vous d'avoir <%= csrf_meta_tags %>", est que cet Rails helper génère un jeton pour vous et l'insère dans le code HTML head. Le jeton est le content attribut dans la <meta> la balise avec le nom csrf-token.
    InformationsquelleAutor suga_shane
  4. 0

    Comme pour les Rails 4.2.2 vous n'êtes pas autorisé à utiliser

    <%= hidden_field_tag :authenticity_token, form_authenticity_token %>

    de votre .js.erb fichier d'actifs.

    Cependant, Vous pouvez créer le formulaire à l'intérieur de la .js.erb fichier et dans la vue contenant le formulaire .html.erb l'utilisation du fichier de la hidden_field_tag de l'aide pour générer le jeton de l'élément. Comme cet élément va être générés à l'extérieur de la forme que vous pouvez utiliser jquery pour ajouter cet élément à la forme.

    Cas d'étude: SweetAlert (première version, la version semble avoir résolu ce problème)

    spectacle.js.erb

    $('.js-button-apply-offer').click(function(e) {
var urlOffer = $(this).attr('data-url-offer');
var modalParams = {
    type: 'warning',
    title: 'add file',
    text: '<p>Need to add a file before continuing</p>' //This is a hack for Sweet alert, solved in SweetAlert2 Consider upgrade
    +"<form action='"+urlOffer+"' id='formCustomCV' method='post' enctype='multipart/form-data' data-remote='true'>"
    + "<input type='file' name='custom_cv' id='fileToUploadAlert' accept='application/pdf'>\n"
    +"</form>",
    html: true,
    showCancelButton: true,
    confirmButtonColor: '#DD6B55',
    confirmButtonText: 'Send',
    cancelButtonText: 'Cancel',
    closeOnConfirm: false
  }
swal(modalParams,
function(){
  var form_token = $('#form_token');
  $('#formCustomCV').append(form_token).submit(); //update to submit using ajax
});

    spectacle.html.erb

    <%= button_tag t('offers.offer.apply'),
  class: 'center-block btn btn-success js-button-apply-offer',
  id: "js-button-apply-offer",
  data: {
    url_offer: apply_talents_offer_path(@offer),
  } 
%>
<%= hidden_field_tag :authenticity_token, form_authenticity_token, id: :form_token %>
    InformationsquelleAutor juliangonzalez