57 votes

CamelCamelCamel avatar

Rails - Comment ajouter une protection CSRF aux formulaires créés en javascript ?

Demandé el 14 de Décembre, 2011
Quand la question a-t-elle été
35639 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'utilise backbone.js et cela fonctionne très bien. mais les formulaires que je crée en tant que modèle javascript n'ont pas le jeton de protection rails csrf. Comment l'ajouter aux modèles que je crée en javascript ?

Demandé el 14 de Décembre, 2011 par CamelCamelCamel

Réponses

Trop de publicités?

87voto

lucianosousa avatar
lucianosousa Points 1947

La meilleure façon de résoudre ce problème, à l'intérieur du formulaire :

 <%= hidden_field_tag :authenticity_token, form_authenticity_token %>

Mettre à jour:

Il semble que le form_authenticity_token soit privé pour les contrôleurs dans les nouvelles versions de rails.

Si c'est le cas pour vous, ce que je suggère c'est : déclarer une variable dans un contrôleur comme : @form_token = form_authenticity_token et utilisez-le dans la vue que vous recherchez.

Répondu el 13 de Février, 2014 par lucianosousa (1947 Points )

38voto

Thong Kuah avatar
Thong Kuah Points 1548

Si vous avez <%= csrf_meta_tag %> dans votre mise en page quelque part et qui vous est accessible depuis le js, vous pouvez y accéder en utilisant $('meta[name="csrf-token"]')

Voir http://eunikorn.blogspot.com/2011/07/working-with-backbonejs-in-harmony-with.html pour une idée sur la façon de pirater le support csrf dans chaque demande de backbone

Répondu el 14 de Décembre, 2011 par Thong Kuah (1548 Points )

7voto

Jack Zelig avatar
Jack Zelig Points 2011

J'ai un formulaire dans un composant Vue dans une application Rails 6.

À ma grande surprise, il suffisait d'inclure une entrée masquée avec le nom authenticity_token dans le modèle Vue et lors du chargement de la page, Rails a rempli la valeur avec un jeton de protection CSRF.

Par exemple

 <template>
  <div id="app">
    <form
      action="/submit"
      method="post"
      @submit.prevent="onSubmit"
    >
      <input
        type="hidden"
        name="authenticity_token"
        value=""
      >
      <!-- rest of form -->
    </form>
  </div>
</template>

Ce qui est rendu comme :

 <div id="app">
  <form action="/submit" method="post">
    <input type="hidden" name="authenticity_token" value="zl9PJiE...">
    ...
  </form>
</div>
Répondu el 23 de Avril, 2020 par Jack Zelig (2011 Points )

4voto

suga_shane avatar
suga_shane Points 352

Vous pouvez ajouter le jeton csrf à chaque formulaire qui utilise 'post' ou 'delete'. Le voici en coffeescript :

 $ -> 
  for f in $("form")
    if f.method == 'post' or f.method == 'delete'
      $(f).prepend("<input type='hidden' name='authenticity_token' value='" + token + "'>")

Assurez-vous d'avoir <%= csrf_meta_tags %> dans votre mise en page. Il devrait déjà être dans la mise en page "application" standard, mais ajoutez-le si vous utilisez une mise en page différente.

Répondu el 1 de Octobre, 2012 par suga_shane (352 Points )

Questions connexes

Questions en vedette

Top Tags

Dans notre réseau

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X