プログラミングの助け、質問への回答 / Ruby on rails / Rails csrf保護が失敗することがある - ruby-on-rails、csrf

Railsのcsrf保護が失敗することがある - ruby-on-rails、csrf

私はajax呼び出しを持つRails 4アプリを持っています。 jquery-rails 宝石。そして時々 csrf保護はajax呼び出しで失敗します。

私はこの問題を自分で捉えたことはありませんでしたが、ユーザーの中には、スクリーンショットとページのソースコードが送られてきました。JSコンソールにはエラーはなく、csrfメタタグがページに表示されています。

私はこの問題の原因となる可能性があり、デバッグする方法を知りません。

回答：

回答№1は1

のGoogleクエリ X-CSRF - トークンヘッダークロムシークレット興味深い結果を返します。

@sevenseacatが指摘したように、これは古いものです記事はRails 2のコードに関するものですが、症状は非常に似ており、根本的な原因が同じかどうか疑問に思います。何かが時々CSRFを無効にするセッションを終了しています。また、この問題は、Chromeをコグニティブモードで使用した結果かもしれません。

まとめると、断続的にセッションが失われると、CSRFの微妙なバグが発生します。

パブリックURLにCSRF保護が必要かどうか - セキュリティ、csrf、csrf-protection

protect_from_forgeryをオフにしないで外部APIにPOSTを送信させる方法 - ruby、post、ruby-on-rails-4、csrf、csrf-protection

リモートで使用するセキュリティ上の懸念はありますか：Rails 5では本当ですか？ - ruby-on-rails、ajax

私がすでにサインインしているときに、基本的な認証で私にプロンプトを出すのはなぜですか？ - ruby-on-rails、ruby、devise

Rails：POSTリクエスト時にCSRFトークンの信頼性を検証できない - ruby-on-rails

Android-ruby-on-railsからRailsを呼び出すときにCSRFトークンの真正性を確認できません

3 - ルビー・オン・レール、ルビー、アヤックス、jquery、ルビー・オン・レール、3.2

ログインページでcsrf / authenticity_tokenの保護を無効にする - ruby-on-rails、security、ruby-on-rails-3.2、csrf

RailsのセッションがDELETEリクエストで破棄される[duplicate] - ruby-on-rails、devise、logout、http-delete

CSRF保護とクロスサイト・フォーム・アクセス - ルビー・オン・レール、ルビー、セキュリティ、認証、csrf

React Nativeを使用したRails APIへのPatchリクエスト422 - ruby-on-rails、ajax、api、react-native