Подтвердить что ты не робот

Правильный способ отправки токена подлинности с AJAX в Rails

Это работает, но останавливается, потому что ему не хватает токена аутентификации:

$(".ajax-referral").click(function(){
  $.ajax({type: "POST", url: $(this).parent("form").attr("action"), dataType: "script"});
  return false;
});

Поэтому я попытался добавить его так:

$(".ajax-referral").click(function(){
  $.ajax({type: "POST", url: $(this).parent("form").attr("action") + "?&authenticity_token=" + AUTH_TOKEN, dataType: "script"});
  return false;
});

И он правильно передает auth_token в качестве параметра, но, похоже, теряет остальную часть моей формы.

В любом случае, чтобы выполнить как отправку данных формы, которая работает, так и токен аутентификации?

Это среда рельсов. И у меня это в голове.

= javascript_tag "var AUTH_TOKEN = '#{form_authenticity_token}';" if protect_against_forgery?

Что я пробовал

1.

= hidden_field :authenticity_token, :value => form_authenticity_token

2.

$.ajax({type: "POST", url: $(this).parent("form").attr("action"), dataType: "script", authenticity_token: AUTH_TOKEN});

3.

// Always send the authenticity_token with ajax
$(document).ajaxSend(function(event, request, settings) {
    if ( settings.type != 'GET' ) {
        settings.data = (settings.data ? settings.data + "&" : "")
            + "authenticity_token=" + encodeURIComponent( AUTH_TOKEN );
    }
});
4b9b3361

ОТВЕТЫ

Ответ 1

Собственно, вы читаете атрибут action формы и отправляете ему сообщение ajax. для отправки данных формы вам необходимо отправить форму или вы можете сериализовать данные формы и отправить ее в ajax-запрос, например

$(".ajax-referral").click(function(){
  $.ajax({
      type: "POST", 
      url: $(this).parent("form").attr("action") + "?&authenticity_token=" + AUTH_TOKEN, 
      data:$(this).parent("form").serialize(),
      dataType: "script"
      });
  return false;
});

Выполнение этого приведет к сериализации данных формы и отправке его вместе с ajax-запросом, а токен аутентификации уже отправляется через строку запроса

Ответ 2

Этот токен также появляется в одном из тегов "meta" в заголовке файла макета application.html.erb по умолчанию, если у вас есть следующий ERB вверху:

<%= csrf_meta_tag %>

Этот ERB примерно соответствует:

<meta content="abc123blahblahauthenticitytoken" name="csrf-token">

Затем вы можете захватить его с помощью jQuery со следующим кодом:

var AUTH_TOKEN = $('meta[name=csrf-token]').attr('content');

Ответ 3

Ни один из них не работал у меня, пока я не установил значение X-CSRF-Token в заголовке запроса через JS следующим образом:

request.setRequestHeader('X-CSRF-Token', token)

token, конечно, являющийся токеном CSRF. Я получил это из тега <meta name="csrf-token"> и не использовал encodeURIComponent()

Обновить, поскольку это полезно для некоторых

Итак, все:

var token = document.querySelector('meta[name="csrf-token"]').content
request.setRequestHeader('X-CSRF-Token', token)

Ответ 4

Спасибо!

Просто уточнить для более общего использования.

Вам нужен тэг js с var AUTH_TOKEN в вашей голове. Должно быть что-то вроде этого.

<%= csrf_meta_tag %>
<%= javascript_tag "var AUTH_TOKEN = '#{form_authenticity_token}';" if protect_against_forgery? %>

А затем просто добавьте в файл ajax свой подлинник_token = AUTH_TOKEN, если вам не нужно использовать родительский (форму) или что-то вроде этого.

$.ajax({
  type: 'post',
  dataType:'text',
  data: "user_id="+user_id+"&authenticity_token="+AUTH_TOKEN,
  url:'/follow/unfollow'
})

Спасибо, ребята, выше, чтобы поделиться этими знаниями!

Ответ 5

Вы можете включить AUTH_TOKEN в самой форме, как скрытый ввод.

<input type="hidden" name="AUTH_TOKEN">1234abcd</input>

Ответ 6

Я просто столкнулся с этой проблемой, но я пробовал этот подход в файле application.js:

$(document).ajaxSend(function(e, xhr, options) {
  if (options.data == null) {
    options.data = {};
  }
  options.data['authenticity_token'] = token;
});

Это исходный вопрос, на котором у меня возникла идея: ajaxSend Question

Ответ 7

Просто использование form_tag автоматически включает параметр токена CSRF. Rails поддерживает "ненавязчивый Javascript", что означает, что форма будет передаваться через AJAX. Действия контроллера поддерживают блок "reply_to", и вы можете использовать расширение .js.erb для внесения изменений на веб-странице в ответ на форму submit.

Ответ 8

В Rails 5. 1+ токен CSRF автоматически добавляется, если вы используете встроенный JS-помощник Rails для запросов AJAX (из rails-ujs), например:

Rails.ajax({
  url: "/your/url",
  type: "POST",
  data: "a=1&b=2",
  success: function(data) {
    console.log(data);
  }
});

Эта библиотека также предоставляет вам помощника для получения токена CSRF вручную, если вам это нужно:

Rails.csrfToken();