IT技术 - 与 Rails 5 react，使用 axios 发布 CSRF 错误 - 吾爱随笔录

与 Rails 5 react，使用 axios 发布 CSRF 错误

IT技术 ruby-on-rails ajax reactjs csrf axios

2021-05-09 16:46:05

我正在尝试使用react_on_railsreact 和 rails 来构建我的第一个示例。我正在尝试将一些数据保存到 rails 后端，将 axios 用于 ajax。

这是我的代码：

import store from "../store/helloWorld";
import axios from "axios";

export const SAVE_NAME = "SAVE_NAME";

export function saveNameAction(name) {
  return {
    type: SAVE_NAME,
    name
  };
}

export function saveName(name) {
  axios
    .post("/hello_world", saveNameAction(name))
    .then(function(response) {
      console.log(response);
    })
    .catch(function(error) {
      console.log(error);
    });
}

和组件：

import PropTypes from "prop-types";
import React from "react";
import * as actions from "../actions/helloWorld";

export default class HelloWorld extends React.Component {
  static propTypes = {
    name: PropTypes.string.isRequired // this is passed from the Rails view
  };

  /**
   * @param props - Comes from your rails view.
   */
  constructor(props) {
    super(props);
    this.state = { name: this.props.name };
  }

  updateName(name) {
    this.setState({ name: name });
  }

  handleSubmit(event) {
    event.preventDefault();
    actions.saveName(this.state.name);
  }

  render() {
    return (
      <div>
        <h3>
          Hellopp, {this.state.name}!
        </h3>
        <hr />
        <form>
          <label htmlFor="name">Say hello to:</label>
          <input
            id="name"
            type="text"
            value={this.state.name}
            onChange={e => this.updateName(e.target.value)}
          />

          <input
            type="submit"
            value="Submit"
            onClick={event => this.handleSubmit(event)}
          />
        </form>
      </div>
    );
  }
}

问题是当我点击提交时，我的后端报告

Started POST "/hello_world" for ::1 at 2017-07-07 15:30:44 +0200
Processing by HelloWorldController#create as HTML
  Parameters: {"type"=>"SAVE_NAME", "name"=>"Stranger", "hello_world"=>{"type"=>"SAVE_NAME", "name"=>"Stranger"}}
Can't verify CSRF token authenticity.
Completed 422 Unprocessable Entity in 1ms (ActiveRecord: 0.0ms)

ActionController::InvalidAuthenticityToken (ActionController::InvalidAuthenticityToken):

一方面，我不明白为什么参数似乎被传递了两次，但这甚至没有产生警告，所以现在不要在意。

问题是我没有看到在我的react代码中获取 CSRF 令牌以在post请求中使用的方法

我应该禁用CSRF吗？或者，还有更好的方法？

3个回答

ActionController::InvalidAuthenticityToken (ActionController::InvalidAuthenticityToken)：

Rails通过附加到每个非 GET请求（POST、PUT/PATCH 和 DELETE）来处理CSRF攻击。你是不是在发送错误意味着在请求参数，你应该追加独特的，像这应该解决的问题。authenticity_tokenauthencity_token authenticity_tokenparams"authuenticity_token" => "BsfdgtZ1hshxgthjj"

react_on_rails通过提供两个助手来处理这个问题。从react_on_rails 文档：

Rails 具有跨站点请求伪造 (CSRF) 的内置保护，请参阅 Rails 文档。为了在 JavaScript 请求中很好地利用此功能，React on Rails 提供了两个帮助程序，可用于 POST、PUT 或 DELETE 请求：

import ReactOnRails from 'react-on-rails';

// reads from DOM csrf token generated by Rails in <%= csrf_meta_tags %>
csrfToken = ReactOnRails.authenticityToken();

// compose Rails specific request header as following { X-CSRF-Token: csrfToken, X-Requested-With: XMLHttpRequest }
header = ReactOnRails.authenticityHeaders(otherHeader);

我发现它react_on_rails有一个帮助系统来处理 CSRF 令牌，

它基本上使用：

  <%= csrf_meta_tags %>

将 csrf_token 作为元添加到页面的标题中

然后你可以使用：

import ReactOnRails from "react-on-rails";

export function saveNameAction(name) {
  console.log("creating action " + name);
  return {
    authenticity_token: ReactOnRails.authenticityToken(),
    type: SAVE_NAME,
    name
  };
}

获取它并使用它。

其它你可能感兴趣的问题

上一篇表单作为具有react的功能组件下一篇媒体查询不适用于 React App 中的样式组件