Rails 5.2 ActionController::InvalidAuthenticityToken Rails 5.2中的ActionController::InvalidAuthenticityToken

Question

6

在升级到Rails 5.2后，我开始在应用程序的所有表单中收到一个ActionController::InvalidAuthenticityToken错误。我通过禁用所有表单的Turbolinks来解决了这个问题，虽然可以工作，但不是一个很好的解决方案。

在搜索互联网时，推荐的常见解决方案似乎是禁用protect_from_forgery

skip_before_action :verify_authenticity_token, raise: false

我们为什么需要禁用protect_from_forgery，这是否会造成安全漏洞？

编辑

csrf_meta_tags在布局中。

- port5432

2个回答

2

对于Rails 5.2，我在控制器内遇到了问题，必须添加以下两行代码：

  skip_before_action :verify_authenticity_token, raise: false
  skip_after_action :verify_authorized

而且在我的情况下它起作用了。

- Nezir

1

仅使用第一行对我有效。 - DivinesLight

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Kartikey Tanna · Accepted Answer

对于Rails 5.2，在ActionController::Base上默认启用default_protect_from_forgery。

您可以使用以下语法禁用它，如PR中所述。

config.action_controller.default_protect_from_forgery = false

参考自文档：

config.action_controller.default_protect_from_forgery决定是否在ActionController:Base上添加防伪保护。默认情况下为false，但在加载Rails 5.2的默认设置时启用。