3
我正在使用Rails 3.2和Doorkeeper gem爲第三方提供OAuth 2 API。我一直用我的REST API時,從應用程序之外得到這樣的警告:Rails/Doorkeeper:無法驗證CSRF令牌的真實性
警告:無法驗證CSRF令牌真實性
通過OAuth2用戶成功驗證的客戶端應用程序。爲什麼我會收到此警告,以及如何正確實施此外部API的csrf?
A
回答
6
從您的ApplicationController中刪除protect_from_forgery(或移除它以調用API)。
+0
從應用程序控制器中刪除protect_from_forgery不安全,因爲這會將應用程序打開到CSRF攻擊。 – 2015-10-02 15:19:29
2
僅關閉要打開的控制器的CSRF保護...這比從ApplicationController中刪除protect_from_forgery更安全。在這種情況下,我使用create action作爲示例...雖然您可以修改以適合您的需求。
class MessagesController < ApplicationController
protect_from_forgery with: :null_session, only: [:create]
# doorkeeper_for :create
end
如果您是通過門衛進行身份驗證,請取消註釋守門線。
關鍵是要打開什麼需要打開...
相關問題
- 1. 無法驗證CSRF令牌的真實性
- 2. Devise token auth無法驗證CSRF令牌的真實性
- 3. 無法在rails中驗證CSRF令牌的真實性
- 4. Rails 5 devise_token_auth無法驗證CSRF令牌的真實性
- 5. 導軌無法驗證CSRF令牌真實性
- 6. Rails部署導致「無法驗證CSRF令牌真實性」
- 7. 無法驗證CSRF令牌的真實性!使用POST的RAILS API
- 8. 在會話過期後無法驗證CSRF令牌的真實性 - Rails + devise + redis
- 9. 當從Android調用Rails時無法驗證CSRF令牌的真實性
- 10. 無CSRF令牌的身份驗證
- 11. 設計:無法驗證服務器上啓用的HTTPS的CSRF令牌真實性(無JSON/API)
- 12. Rails5「無法驗證CSRF令牌真實性」的問題,在生產環境中的子域
- 13. 無法驗證CSRF令牌的真實性Rails 4 Ajax即使設置了標頭時也是如此
- 14. 基本.ajax張貼到導軌3.2.2腳手架生成「警告:無法驗證CSRF令牌的真實性」
- 15. 無效的真實性令牌
- 16. Rails的CSRF令牌的真實性和設計
- 17. 無法驗證CSRF令牌! Angular 2和彈簧安全
- 18. 無法在Rails + React App中驗證CSRF令牌
- 19. Rails 3真實性令牌
- 20. CSRF 403禁止 - 無效的CSRF令牌
- 21. 的CSRF令牌無效
- 22. 驗證FPFile的真實性
- 23. 無法驗證oauth簽名和令牌
- 24. SYMFONY2 - CSRF令牌無效Allwais
- 25. Symfony2 CSRF令牌無效
- 26. Symfony - CSRF令牌無效 - FosRestBundle
- 27. 笨,CSRF令牌
- 28. Django的CSRF令牌
- 29. Ruby on Rails使用IE時無效的真實性令牌
- 30. Internet Explorer導致無效的真實性令牌錯誤
你不應該爲無狀態API實現'csrf'。它打破了無國界的整個概念。 – 2012-04-27 13:22:08
我還沒有實現API的csrf,我只是從Rails得到這個警告。我可以跳過某些方法的csrf有效性檢查嗎? – 2012-04-27 13:25:42