Rails CSRF Protection + Angular.js:protect_from_forgery让我退出POST

问题描述 投票:126回答:8

如果在application_controller中提到了protect_from_forgery选项,那么我可以登录并执行任何GET请求,但是在第一次POST请求时Rails会重置会话,这会导致我退出。

我暂时关闭了protect_from_forgery选项,但想将它与Angular.js一起使用。有办法做到这一点吗?

ruby-on-rails angularjs csrf protect-from-forgery
8个回答
275
投票

我认为从DOM中读取CSRF值并不是一个好的解决方案,它只是一种解决方法。

这是一个文件形式angularJS官方网站http://docs.angularjs.org/api/ng.$http

由于只有在您的域上运行的JavaScript才能读取Cookie,因此您的服务器可以确保XHR来自您域上运行的JavaScript。

要利用此功能(CSRF保护),您的服务器需要在第一个HTTP GET请求中在名为XSRF-TOKEN的JavaScript可读会话cookie中设置令牌。在后续的非GET请求中,服务器可以验证cookie是否与X-XSRF-TOKEN HTTP标头匹配

以下是基于这些说明的解决方案:

首先,设置cookie:

# app/controllers/application_controller.rb

# Turn on request forgery protection
protect_from_forgery

after_action :set_csrf_cookie

def set_csrf_cookie
  cookies['XSRF-TOKEN'] = form_authenticity_token if protect_against_forgery?
end

然后,我们应该在每个非GET请求上验证令牌。 由于Rails已经使用类似的方法构建,我们可以简单地覆盖它以附加我们的逻辑:

# app/controllers/application_controller.rb

protected

  # In Rails 4.2 and above
  def verified_request?
    super || valid_authenticity_token?(session, request.headers['X-XSRF-TOKEN'])
  end

  # In Rails 4.1 and below
  def verified_request?
    super || form_authenticity_token == request.headers['X-XSRF-TOKEN']
  end
78
投票

如果您使用默认的Rails CSRF保护(<%= csrf_meta_tags %>),您可以像这样配置Angular模块:

myAngularApp.config ["$httpProvider", ($httpProvider) ->
  $httpProvider.defaults.headers.common['X-CSRF-Token'] = $('meta[name=csrf-token]').attr('content')
]

或者,如果你没有使用CoffeeScript(什么!?):

myAngularApp.config([
  "$httpProvider", function($httpProvider) {
    $httpProvider.defaults.headers.common['X-CSRF-Token'] = $('meta[name=csrf-token]').attr('content');
  }
]);

如果您愿意,可以仅在非GET请求上发送标头,如下所示:

myAngularApp.config ["$httpProvider", ($httpProvider) ->
  csrfToken = $('meta[name=csrf-token]').attr('content')
  $httpProvider.defaults.headers.post['X-CSRF-Token'] = csrfToken
  $httpProvider.defaults.headers.put['X-CSRF-Token'] = csrfToken
  $httpProvider.defaults.headers.patch['X-CSRF-Token'] = csrfToken
  $httpProvider.defaults.headers.delete['X-CSRF-Token'] = csrfToken
]

此外,请务必查看HungYuHei's answer,它涵盖服务器上的所有基础而不是客户端。

29
投票

angular_rails_csrf gem自动为所有控制器添加对HungYuHei's answer中描述的模式的支持:

# Gemfile
gem 'angular_rails_csrf'
4
投票

合并所有先前答案的答案,它依赖于您使用Devise身份验证gem。

首先,添加gem:

gem 'angular_rails_csrf'

接下来,将rescue_from块添加到application_controller.rb中:

protect_from_forgery with: :exception

rescue_from ActionController::InvalidAuthenticityToken do |exception|
  cookies['XSRF-TOKEN'] = form_authenticity_token if protect_against_forgery?
  render text: 'Invalid authenticity token', status: :unprocessable_entity
end

最后,将拦截器模块添加到角度应用程序中。

# coffee script
app.factory 'csrfInterceptor', ['$q', '$injector', ($q, $injector) ->
  responseError: (rejection) ->
    if rejection.status == 422 && rejection.data == 'Invalid authenticity token'
        deferred = $q.defer()

        successCallback = (resp) ->
          deferred.resolve(resp)
        errorCallback = (resp) ->
          deferred.reject(resp)

        $http = $http || $injector.get('$http')
        $http(rejection.config).then(successCallback, errorCallback)
        return deferred.promise

    $q.reject(rejection)
]

app.config ($httpProvider) ->
  $httpProvider.interceptors.unshift('csrfInterceptor')
1
投票

我看到了其他的答案,并认为它们很棒并且经过深思熟虑。我让我的rails应用程序工作,但我认为这是一个更简单的解决方案,所以我想我会分享。我的rails应用程序附带了这个默认值,

class ApplicationController < ActionController::Base
  # Prevent CSRF attacks by raising an exception.
  # For APIs, you may want to use :null_session instead.
  protect_from_forgery with: :exception
end

我阅读了评论,似乎这就是我想要使用angular并避免csrf错误。我改成了这个,

class ApplicationController < ActionController::Base
  # Prevent CSRF attacks by raising an exception.
  # For APIs, you may want to use :null_session instead.
  protect_from_forgery with: :null_session
end

现在它有效!我没有看到为什么这不起作用的任何理由,但我很想听到其他海报的一些见解。

1
投票

我在申请中使用了HungYuHei的回答。我发现我正在处理一些其他问题,但有些是因为我使用Devise进行身份验证,还有一些是因为我使用我的应用程序的默认设置:

protect_from_forgery with: :exception

我注意到相关的stack overflow question and the answers there,我写了一个更详细的blog post,总结了各种考虑因素。此解决方案中与此相关的部分是在应用程序控制器中:

  protect_from_forgery with: :exception

  after_filter :set_csrf_cookie_for_ng

  def set_csrf_cookie_for_ng
    cookies['XSRF-TOKEN'] = form_authenticity_token if protect_against_forgery?
  end

  rescue_from ActionController::InvalidAuthenticityToken do |exception|
    cookies['XSRF-TOKEN'] = form_authenticity_token if protect_against_forgery?
    render :error => 'Invalid authenticity token', {:status => :unprocessable_entity} 
  end

protected
  def verified_request?
    super || form_authenticity_token == request.headers['X-XSRF-TOKEN']
  end
1
投票

我发现这很快就破解了。我所要做的就是以下几点:

一个。在我看来,我初始化一个包含令牌的$scope变量,比如说在表单之前,或者甚至在控制器初始化时更好:

<div ng-controller="MyCtrl" ng-init="authenticity_token = '<%= form_authenticity_token %>'">

湾在我的AngularJS控制器中,在保存新条目之前,我将令牌添加到哈希:

$scope.addEntry = ->
    $scope.newEntry.authenticity_token = $scope.authenticity_token 
    entry = Entry.save($scope.newEntry)
    $scope.entries.push(entry)
    $scope.newEntry = {}

没有什么需要做的。

0
投票
 angular
  .module('corsInterceptor', ['ngCookies'])
  .factory(
    'corsInterceptor',
    function ($cookies) {
      return {
        request: function(config) {
          config.headers["X-XSRF-TOKEN"] = $cookies.get('XSRF-TOKEN');
          return config;
        }
      };
    }
  );

它正在开发angularjs方面!

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.