我正在使用AngularJS和Rails。我有以下请求,用于批量更新用户。
$http{
method: 'POST',
url: $scope.update_url,
params: {selected_ids: userIds}
}
由于URL长度的限制(http://support.microsoft.com/kb/208427),这不能是一个“GET”请求。
但对于“POST”请求,我们需要在头部中设置CSRF认证令牌。
如何将CSRF Token设置到POST请求的头部?
你可以按照$http服务中的说明设置HTTP标头。
你可以全局设置它:
$httpProvider.defaults.headers.post['My-Header']='value' (or)
$http.defaults.headers.post['My-Header']='value';
或者对于单个请求:
$http({
headers: {
'My-Header': 'value'
}
});
这里有一个来自Angular的重要引用:
跨站请求伪造(XSRF)保护。 XSRF是一种未经授权的网站可以获取用户私人数据的技术。 Angular提供以下机制来对抗XSRF。在执行XHR请求时,$http服务从名为XSRF-TOKEN的cookie中读取令牌,并将其设置为HTTP头X-XSRF-TOKEN。由于只有运行在您域上的JavaScript才能读取cookie,因此您的服务器可以确信XHR来自在您域上运行的JavaScript。
要利用此功能,您的服务器需要在第一个HTTP GET请求中设置一个可由JavaScript读取的会话cookie中的令牌,称为XSRF-TOKEN。在随后的非GET请求中,服务器可以验证cookie是否与X-XSRF-TOKEN HTTP头匹配,因此可以确定仅运行在您域上的JavaScript才能读取该令牌。该令牌必须对于每个用户都是唯一的,并且必须由服务器进行验证(以防止JavaScript编写自己的令牌)。我们建议使用带有盐的站点身份验证cookie的摘要作为令牌,以增加安全性。
如果你想知道如何在Rails中设置XSRF-TOKEN cookie的值,这个答案提供了一个实现Rails CSRF Protection + Angular.js:protect_from_forgery让我在POST上注销
我最近遇到了同样的问题,通过添加gem angular_rails_js解决了它。据我理解,它会为每个Rails控制器创建一个带有Rails CSRF-TOKEN的cookie,这将被Angular $http捕获(默认$http行为)。