私はbackbone.jsを使用しています。しかし、javascriptテンプレートとして作成しているフォームには、レールcsrf保護トークンがありません。私はどのように私はJavaScriptで作成しているテンプレートに追加するのですか?Rails - javascriptで作成したフォームにCSRF保護を追加するには?
答えて
あなたがどこかに自分のレイアウトで<%= csrf_meta_tag %>
を持っており、それはJSからあなたにアクセス可能である場合は、各バックボーン要求
$('meta[name="csrf-token"]')
を使用してアクセスすることができます
「投稿」または「削除」を使用するすべてのフォームにcsrfトークンを付加することができます。ここでは、CoffeeScriptのである:
$ ->
for f in $("form")
if f.method == 'post' or f.method == 'delete'
$(f).prepend("<input type='hidden' name='authenticity_token' value='" + token + "'>")
あなたのレイアウトで<% = csrf_meta_tags%>があることを確認してください。すでに標準の「アプリケーション」レイアウトにあるはずですが、別のレイアウトを使用している場合は追加してください。
'token'はどこで宣言されていますか? – juliangonzalez
@suga_shaneは、 "<%= csrf_meta_tags%>' "を持っていることを意味します。これはRailsヘルパーがトークンを生成してHTMLの' head'に挿入することを意味します。トークンは ''タグの 'csrf-token'という名前の' content'属性です。 – sameers
ベストな方法は、私は、フォーム内で、これを解決:あなたの.js.erb
資産ファイルから
<%= hidden_field_tag :authenticity_token, form_authenticity_token %>
を使用することはできません4.2.2
<%= hidden_field_tag :authenticity_token, form_authenticity_token %>
それは動作しますが、なぜですか?コントローラ内の['form_authenticity_token'](http://apidock.com/rails/ActionController/RequestForgeryProtection/form_authenticity_token)はプライベートではありませんか? –
これは私にとってRails 4.2.2ではうまくいきません。私は: '未定義のローカル変数またはメソッド 'form_authenticity_token for#<#
のようになりました。ちょっと、' form_authenticity_token'のように見えるフランクリンのようなコントローラのプライベートです。私が提案として見たのは、コントローラの変数 '@form_token = form_authenticity_token'を宣言し、それをビューで使用することでした。 – lucianosousa
Railsのためのよう。
.js.erb
ファイル内にフォームを作成することができます。フォームに.html.erb
というファイルを含むビューでは、hidden_field_tag
ヘルパーを使用してトークン要素を生成します。この要素はフォーム外で生成されるため、この要素をフォームに追加するためにjqueryを使用できます。研究の
ケース:SweetAlert(最初のバージョン、バージョンがあまりにもこの問題を解決しているようだ)
show.js.erb
$('.js-button-apply-offer').click(function(e) {
var urlOffer = $(this).attr('data-url-offer');
var modalParams = {
type: 'warning',
title: 'add file',
text: '<p>Need to add a file before continuing</p>' // This is a hack for Sweet alert, solved in SweetAlert2 Consider upgrade
+"<form action='"+urlOffer+"' id='formCustomCV' method='post' enctype='multipart/form-data' data-remote='true'>"
+ "<input type='file' name='custom_cv' id='fileToUploadAlert' accept='application/pdf'>\n"
+"</form>",
html: true,
showCancelButton: true,
confirmButtonColor: '#DD6B55',
confirmButtonText: 'Send',
cancelButtonText: 'Cancel',
closeOnConfirm: false
}
swal(modalParams,
function(){
var form_token = $('#form_token');
$('#formCustomCV').append(form_token).submit(); //update to submit using ajax
});
show.html.erb
<%= button_tag t('offers.offer.apply'),
class: 'center-block btn btn-success js-button-apply-offer',
id: "js-button-apply-offer",
data: {
url_offer: apply_talents_offer_path(@offer),
}
%>
<%= hidden_field_tag :authenticity_token, form_authenticity_token, id: :form_token %>
- 1. マニュアルで作成したフォームにCSRFを追加するには?
- 2. Symfony3でAJAXコールにCSRF保護を追加する方法は?
- 3. フォーム検証なしのCodeigniter csrf保護
- 4. SilexでフォームのCSRF保護を無効にする
- 5. CSRF HTTPによるGETリクエストの保護
- 6. csrfの保護
- 7. API CSRF保護
- 8. セキュリティ保護されたフォームと同じページにCSRFトークンを生成するのは安全ですか?
- 9. CSRF Spring Securityを使用した保護
- 10. Sonata Adminによって生成されたフォームでCSRF保護を無効にする
- 11. Spring CSRF保護シナリオ?
- 12. CSRF保護質問
- 13. php csrf保護ライブラリ
- 14. IdentityServer4のCSRF保護
- 15. CSRF保護またはセッション固定保護
- 16. symfonyによるCSRFの保護
- 17. AJAX GETメソッドによるCSRFトークン保護
- 18. WSO2 IS 5.2.0 CSRF CSRFGuardおよび/またはCSRF Filter/Valveによる保護?
- 19. XHRのCSRF保護をバイパスすることは安全ですか? (Rails)
- 20. パスワードで保護されたGitリポジトリを作成するには
- 21. CSRF/SQLインジェクション保護。ほかに何か?
- 22. Rest APIのCSRF保護
- 23. Angular2とLaravel CSRF保護
- 24. CSRFフェニックスとアングルの保護
- 25. Spring OAuth2クライアント、CSRF保護
- 26. drupalでコンテンツを追加するフォームを作成するには?
- 27. ServiceStackでCSRF保護を有効にする方法
- 28. エラーCSRF保護を有効にするコードシニターで
- 29. パスワードなしでpdf保護文書を作成するには?
- 30. Intellijで作成したjavascriptファイルにヘッダーを追加するには?
eunikorn今は壊れたリンクになっています – Crisfole
これがどのようにハッキングできるかの別の例はhttps://gist.github.com/3482636を参照してください。それが同じかどうかはわかりません。 – Crisfole
ああ、概念は同じです。 –