Rails用户登录错误:无法验证CSRF令牌的真实性
问题描述 投票:1回答:2
我在用户登录生产环境中的rails应用程序时遇到问题。每当用户尝试登录时,都会收到以下错误消息:
Application Controller:
class ApplicationController < ActionController::Base
protect_from_forgery with: :exception
end
选中后,我在production.log文件中发现了与CSRF相关的错误消息。生产环境(独角兽)面临此问题,并且在开发环境(rails -s)中不存在。
布局模板:
<html>
<head>
<title>My Site</title>
<%= stylesheet_link_tag 'application', media: 'all', 'data-turbolinks-track' => true %>
<%= javascript_include_tag 'application', 'data-turbolinks-track' => true %>
<%= csrf_meta_tags %>
</head>
W, [2018-09-21T13:55:13.032519 #20667] WARN -- : [c1cb8958-e963-43ba-8bdd-d5f38eb3394f] Can't verify CSRF token authenticity.
F, [2018-09-21T13:55:13.033892 #20667] FATAL -- : [c1cb8958-e963-43ba-8bdd-d5f38eb3394f]
F, [2018-09-21T13:55:13.034023 #20667] FATAL -- : [c1cb8958-e963-43ba-8bdd-d5f38eb3394f] ActionController::InvalidAuthenticityToken (ActionControl
ler::InvalidAuthenticityToken):
F, [2018-09-21T13:55:13.034040 #20667] FATAL -- : [c1cb8958-e963-43ba-8bdd-d5f38eb3394f]
F, [2018-09-21T13:55:13.034063 #20667] FATAL -- : [c1cb8958-e963-43ba-8bdd-d5f38eb3394f] actionpack (5.0.7) lib/action_controller/metal/request_fo
rgery_protection.rb:195:in `handle_unverified_request'
[c1cb8958-e963-43ba-8bdd-d5f38eb3394f] actionpack (5.0.7) lib/action_controller/metal/request_forgery_protection.rb:223:in `handle_unverified_requ
est'
[c1cb8958-e963-43ba-8bdd-d5f38eb3394f] devise (4.5.0) lib/devise/controllers/helpers.rb:255:in `handle_unverified_request'
[c1cb8958-e963-43ba-8bdd-d5f38eb3394f] actionpack (5.0.7) lib/action_controller/metal/request_forgery_protection.rb:218:in `verify_authenticity_to
ken'
知道可能是什么根本原因?
2个回答
0
投票
投票
检查secret_key_base中config\secrets.yml的存在。
检查您是否在生产中设置了ENV["SECRET_KEY_BASE"]($SECRET_KEY_BASE)。
#csrf_meta_tags依靠secret_key_base来验证令牌。
检查您是否已打开asset fingerprinting,并且在发布后您没有缓存旧页面。
检查config.assets.digest = true的生产。
指纹识别行为由config.assets.digest初始化选项控制(对于生产,默认为true,对于其他所有选项,默认为false)。
它可能缺失,所以依赖于默认值,所以检查$RAILS_ENV = production。
0
投票
投票
可能不完全是您遇到的问题,因为您的protect_from_forgery位于ApplicationController的顶部,但可能对其他人有帮助:
我在devise_parameter_sanitizer线以上的if: devise_controller?之前跟注了protect_from_forgery,这导致Devise在铁路升级到5.2之后突破。由于Rails 5.2默认情况下会执行protect_from_forgery(如果您使用默认的5.2设置),我可以在设置config.load_defaults 5.2后删除此行。
最新问题
- 轮廓未显示全彩
- 如何在PowerShell中获取以“ABC_”开头的Active Directory组名称列表?
- Fastlane 供应 track_promote_to 失败,轨道“内部”没有任何版本
- Bash 脚本从 Google Drive 文件夹中删除超过 7 天的备份文件
- 在 GitLab 中重命名“页面”作业
- 显式声明模板参数时如何进行完美转发
- NSLog,如何为不同大小的字段生成固定宽度的输出?
- 在没有开发者帐户、没有 Xcode 和 Android Studio 的情况下是否可以构建 EAS?
- azure fucntion应用程序v2-linux中的PGP解密
- 在 Windows 主机上部署 Jinja2 Ansible 模板的 New-Item -Type Directory powershell 命令问题
- (tflite_flutter) tflite 模型(文本分类)给出相同的结果
- Hibernate @SoftDelete 与 @ManyToOne(fetch = FetchType.LAZY) 的问题
- 如何使用 Bash 脚本查找 FASTA 文件的 GC 内容?
- 从 2 个文件中删除重复文件
- Next.js 服务器操作在哪里执行
- 如何提取存储在从 runJavaScriptReturningResult 函数调用返回的对象中的值?
- VSCode 无法在文件资源管理器中打开任何现有文件
- MAX 和 GROUP BY 不返回预期值
- 使用 VS Code Cmake Tools 扩展,如何在外部终端运行程序?
- 递归ajax调用时出现内存不足问题
© www.soinside.com 2019 - 2024. All rights reserved.