什么情况下 form_authenticity_token 与 params[:authenticity_token] 不匹配?
我看到未经验证的请求进入我的应用程序,所以我覆盖了 form_tag 以打印出一些调试信息。
form_auth_token: #{form_authenticity_token.inspect}
session_csrf_token: #{session['_csrf_token'].inspect}
params: #{params.inspect}
我得到的输出显示 session 具有与 form_auth_token 匹配的正确 token ,但提交的参数 authenticity_token 不匹配:
form_auth_token: "gckttsVeq2XvTBwQX3BaInWCivIhvR/mYBWjs119eb8="
session_csrf_token: "gckttsVeq2XvTBwQX3BaInWCivIhvR/mYBWjs119eb8="
params: {"utf8"=>"✓", "authenticity_token"=>"+5IINl7vEh1jJJwP+RiXXws+4kEwM3fpJsCOn+gZ0AA=" ...
我认为根据定义,params[:authenticity_token] 与 form_authenticity_token 相同。
- 我是否以错误的方式调试它?
- 可能是什么原因造成的?
最佳答案
一些简单的建议:如果您正在使用 rails jquery 帮助程序,rails 会自动在 POST 请求中添加 HTML 文档头部的 csrf-token 元标记值。我会检查 <head>
中的值是什么标记您的 HTML 文档以查看它是否匹配。
关于ruby-on-rails - Rails form_authenticity_token 与参数不匹配[ :authenticity_token],我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/17073363/