Rails CSRF Protection + Angular.js: protect_from_forgery заставляет меня выйти из системы POST

Question

Rails CSRF Protection + Angular.js: protect_from_forgery заставляет меня выйти из системы POST

120

Если параметр protect_from_forgery указан в application_controller, то я могу входить в систему и выполнять любые запросы GET, но при первом запросе POST Rails сбрасывает сеанс, который выводит меня из системы.

Я временно отключил параметр protect_from_forgery, но хотел бы использовать его с Angular.js. Есть ли способ сделать это?

Paul 06 фев. 2013, в 15:37

Источник

0

Посмотрите, поможет ли это кому-нибудь, речь идет об установке заголовков HTTP stackoverflow.com/questions/14183025/…
Mark Rajcok 06 фев. 2013, в 17:21

Теги:

csrf

angularjs

ruby-on-rails

8 ответов

81

Если вы используете стандартную защиту Rails CSRF (<%= csrf_meta_tags %>), вы можете настроить свой модуль Angular следующим образом:

myAngularApp.config ["$httpProvider", ($httpProvider) ->
  $httpProvider.defaults.headers.common['X-CSRF-Token'] = $('meta[name=csrf-token]').attr('content')
]

Или, если вы не используете CoffeeScript (что!?):

myAngularApp.config([
  "$httpProvider", function($httpProvider) {
    $httpProvider.defaults.headers.common['X-CSRF-Token'] = $('meta[name=csrf-token]').attr('content');
  }
]);

Если вы предпочитаете, вы можете отправлять заголовок только по запросам, отличным от GET, с чем-то вроде следующего:

myAngularApp.config ["$httpProvider", ($httpProvider) ->
  csrfToken = $('meta[name=csrf-token]').attr('content')
  $httpProvider.defaults.headers.post['X-CSRF-Token'] = csrfToken
  $httpProvider.defaults.headers.put['X-CSRF-Token'] = csrfToken
  $httpProvider.defaults.headers.patch['X-CSRF-Token'] = csrfToken
  $httpProvider.defaults.headers.delete['X-CSRF-Token'] = csrfToken
]

Кроме того, не забудьте проверить ответ HungYuHei, который охватывает все базы на сервере, а не клиент.

Michelle Tilley 06 фев. 2013, в 17:50

0

Позволь мне объяснить. Базовый документ представляет собой обычный HTML, а не .erb, поэтому я не могу использовать <%= csrf_meta_tags %> . Я думал, что должно быть достаточно, чтобы упомянуть только protect_from_forgery . Что делать? Базовый документ должен быть простым HTML (я здесь не тот, кто выбирает).
Paul 06 фев. 2013, в 19:15
3

Когда вы используете protect_from_forgery вы говорите: «когда мой код JavaScript отправляет запросы Ajax, я обещаю отправить X-CSRF-Token токен в заголовке, который соответствует текущему токену CSRF». Чтобы получить этот токен, Rails внедряет его в DOM с помощью <%= csrf_meta_token %> и get получает содержимое метатега с помощью jQuery всякий раз, когда он делает запросы Ajax (драйвер UJS по умолчанию для Rails 3 делает это за вас). Если вы не используете ERB, нет способа получить текущий токен из Rails на страницу и / или в JavaScript - и, таким образом, вы не можете использовать protect_from_forgery таким образом.
Michelle Tilley 06 фев. 2013, в 19:29
0

Спасибо за объяснение. Что я думал, что в классическом серверном приложении клиентская сторона получает csrf_meta_tags каждый раз, когда сервер генерирует ответ, и каждый раз, когда эти теги отличаются от предыдущих. Итак, эти теги уникальны для каждого запроса. Вопрос в том, как приложение получает эти теги для запроса AJAX (без угловых значений)? Я использовал protect_from_forgery с JQuery POST-запросами, никогда не удосужился получить этот токен CSRF, и это сработало. Как?
Paul 06 фев. 2013, в 19:47
1

Драйвер Rails UJS использует jQuery.ajaxPrefilter как показано здесь: github.com/indirect/jquery-rails/blob/c1eb6ae/vendor/assets/… Вы можете просмотреть этот файл и увидеть все переходы по Rails, чтобы заставить его работать в значительной степени не беспокоясь об этом.
Michelle Tilley 06 фев. 2013, в 19:54
0

@BrandonTilley разве не имеет смысла делать это только на put и post вместо common ? Из руководства по безопасности rails : The solution to this is including a security token in non-GET requests
christianvuerings 12 апр. 2013, в 15:09
0

@denbuzze Не вижу причин не перечислять их, если хотите. Наше приложение использует POST , DELETE и PATCH . Я не уверен, является ли отправка токена через GET проблемой безопасности или нет, но если это не так, установка их с помощью common - это быстрый способ охватить все ваши базы.
Michelle Tilley 12 апр. 2013, в 16:21
0

@ Брэндон Тилли: извините, я должен снять отметку с вашего ответа, потому что ответ HungYuHei более готов к практическому использованию в моей ситуации. Если Stackoverflow позволяет, я бы отметил ваши ответы как лучшие ответы, потому что они дополняют друг друга.
Paul 16 апр. 2013, в 12:29
1

Не беспокойся, это хороший ответ!
Michelle Tilley 16 апр. 2013, в 19:06
0

Как получить доступ к csrfToken без использования jquery $('meta[name=csrf-token]').attr('content') ? Так как $cookies которые XSRF-TOKEN , не доступны в блоке config , и обновление headers при run не приносит пользы.
red-devil 10 сен. 2014, в 20:38
0

+1 за кофе (и за работу).
user657199 24 окт. 2014, в 17:41
0

У меня проблемы с последним. $httpProvider.defaults.headers.delete['X-CSRF-Token'] = csrfToken выдает эту ошибку: $injector:modulerr] Failed to instantiate module AngulaRails due to: undefined is not an object (evaluating '$httpProvider.defaults.headers["delete"]['X-CSRF-Token'] = csrfToken')
ctilley79 02 март 2015, в 17:16

Показать ещё 9 комментариев

29

angular_rails_csrf gem автоматически добавляет поддержку шаблона, описанного в ответ HungYuHei всем вашим контроллерам:

# Gemfile
gem 'angular_rails_csrf'

jsanders 13 дек. 2013, в 18:23

0

Любая идея, как вы должны настроить контроллер приложения и другие параметры, связанные с csrf / forgery, чтобы правильно использовать angular_rails_csrf?
Ben Wheeler 17 апр. 2015, в 21:03
0

И вы должны перезагрузить сервер после комплектации. Может быть, очевидно ...
MatthiasFranz 23 окт. 2015, в 10:43
0

На момент angular_rails_csrf этого комментария гем angular_rails_csrf не работал с Rails 5. Однако настройка заголовков запросов Angular со значением из метатега CSRF работает!
bideowego 23 сен. 2016, в 20:33
0

Существует новая версия гема, которая поддерживает Rails 5.
jsanders 07 дек. 2016, в 15:02

Показать ещё 2 комментария

3

Ответ, который объединяет все предыдущие ответы, и полагается, что вы используете Devise подлинник gem.

Прежде всего, добавьте драгоценный камень:

gem 'angular_rails_csrf'

Затем добавьте блок rescue_from в application_controller.rb:

protect_from_forgery with: :exception

rescue_from ActionController::InvalidAuthenticityToken do |exception|
  cookies['XSRF-TOKEN'] = form_authenticity_token if protect_against_forgery?
  render text: 'Invalid authenticity token', status: :unprocessable_entity
end

И, наконец, добавьте модуль перехватчика к вам angular.

# coffee script
app.factory 'csrfInterceptor', ['$q', '$injector', ($q, $injector) ->
  responseError: (rejection) ->
    if rejection.status == 422 && rejection.data == 'Invalid authenticity token'
        deferred = $q.defer()

        successCallback = (resp) ->
          deferred.resolve(resp)
        errorCallback = (resp) ->
          deferred.reject(resp)

        $http = $http || $injector.get('$http')
        $http(rejection.config).then(successCallback, errorCallback)
        return deferred.promise

    $q.reject(rejection)
]

app.config ($httpProvider) ->
  $httpProvider.interceptors.unshift('csrfInterceptor')

Anton Orel 28 май 2014, в 16:09

1

Почему вы вводите $injector вместо того, чтобы просто вводить $http ?
whitehat101 20 авг. 2014, в 02:23
0

Это работает, но только думаю, что я добавил, это проверить, если запрос уже повторен. Когда это повторяется, мы не отправляем снова, так как он будет повторяться вечно.
duleorlovic 29 сен. 2016, в 16:22

1

Я очень быстро взломал это. Все, что мне нужно было сделать, это следующее:

а. На мой взгляд, я инициализирую переменную $scope, которая содержит токен, скажем, перед формой или даже лучше при инициализации контроллера:

<div ng-controller="MyCtrl" ng-init="authenticity_token = '<%= form_authenticity_token %>'">

б. В моем контроллере AngularJS перед сохранением новой записи я добавляю токен в хэш:

$scope.addEntry = ->
    $scope.newEntry.authenticity_token = $scope.authenticity_token 
    entry = Entry.save($scope.newEntry)
    $scope.entries.push(entry)
    $scope.newEntry = {}

Больше ничего не нужно делать.

Ruby Racer 30 дек. 2014, в 23:39

1

Я использовал контент из ответа HungYuHei в своем приложении. Я обнаружил, что я имел дело с несколькими дополнительными проблемами, однако, некоторые из-за моего использования Devise для аутентификации, а некоторые из-за того, что по умолчанию я получил свое приложение:

protect_from_forgery with: :exception

Я отмечаю связанный с ним вопрос о переполнении стека и ответы там, и я написал гораздо более подробный в блоге, в котором обобщаются различные соображения. Части этого решения, которые здесь актуальны, находятся в контроллере приложений:

  protect_from_forgery with: :exception

  after_filter :set_csrf_cookie_for_ng

  def set_csrf_cookie_for_ng
    cookies['XSRF-TOKEN'] = form_authenticity_token if protect_against_forgery?
  end

  rescue_from ActionController::InvalidAuthenticityToken do |exception|
    cookies['XSRF-TOKEN'] = form_authenticity_token if protect_against_forgery?
    render :error => 'Invalid authenticity token', {:status => :unprocessable_entity} 
  end

protected
  def verified_request?
    super || form_authenticity_token == request.headers['X-XSRF-TOKEN']
  end

PaulL 17 апр. 2014, в 15:04

1

Я увидел другие ответы и подумал, что они великолепны и хорошо продуманы. Я получил приложение для рельсов, хотя с тем, что, по моему мнению, было более простым решением, поэтому я решил поделиться с вами. В моем приложении rails появился этот дефолт,

class ApplicationController < ActionController::Base
  # Prevent CSRF attacks by raising an exception.
  # For APIs, you may want to use :null_session instead.
  protect_from_forgery with: :exception
end

Я прочитал комментарии, и мне показалось, что я хочу использовать angular и избежать ошибки csrf. Я изменил его на это,

class ApplicationController < ActionController::Base
  # Prevent CSRF attacks by raising an exception.
  # For APIs, you may want to use :null_session instead.
  protect_from_forgery with: :null_session
end

И теперь это работает! Я не вижу причин, почему это не должно работать, но я хотел бы услышать некоторое понимание других плакатов.

Blaine Hatab 09 сен. 2013, в 16:09

6

это вызовет проблемы, если вы попытаетесь использовать rails 'session', поскольку для него будет установлено значение nil, если он не пройдёт тест на подделку, что будет всегда, так как вы не отправляете токен csrf со стороны клиента.
hajpoj 24 июнь 2014, в 23:28
0

Спасибо за понимание. Действительно полезно знать.
Blaine Hatab 25 июнь 2014, в 19:59
0

Но если вы не используете сеансы Rails, все хорошо; благодарю вас! Я изо всех сил пытался найти самое чистое решение для этого.
Morgan 02 окт. 2014, в 21:14

Показать ещё 1 комментарий

0

 angular
  .module('corsInterceptor', ['ngCookies'])
  .factory(
    'corsInterceptor',
    function ($cookies) {
      return {
        request: function(config) {
          config.headers["X-XSRF-TOKEN"] = $cookies.get('XSRF-TOKEN');
          return config;
        }
      };
    }
  );

Работает с угловой стороной!

Evgeniy Krokhmal 16 фев. 2017, в 15:34

Ещё вопросы

Посмотрите, поможет ли это кому-нибудь, речь идет об установке заголовков HTTP stackoverflow.com/questions/14183025/…
Позволь мне объяснить. Базовый документ представляет собой обычный HTML, а не .erb, поэтому я не могу использовать <%= csrf_meta_tags %> . Я думал, что должно быть достаточно, чтобы упомянуть только protect_from_forgery . Что делать? Базовый документ должен быть простым HTML (я здесь не тот, кто выбирает).
Когда вы используете protect_from_forgery вы говорите: «когда мой код JavaScript отправляет запросы Ajax, я обещаю отправить X-CSRF-Token токен в заголовке, который соответствует текущему токену CSRF». Чтобы получить этот токен, Rails внедряет его в DOM с помощью <%= csrf_meta_token %> и get получает содержимое метатега с помощью jQuery всякий раз, когда он делает запросы Ajax (драйвер UJS по умолчанию для Rails 3 делает это за вас). Если вы не используете ERB, нет способа получить текущий токен из Rails на страницу и / или в JavaScript - и, таким образом, вы не можете использовать protect_from_forgery таким образом.
Спасибо за объяснение. Что я думал, что в классическом серверном приложении клиентская сторона получает csrf_meta_tags каждый раз, когда сервер генерирует ответ, и каждый раз, когда эти теги отличаются от предыдущих. Итак, эти теги уникальны для каждого запроса. Вопрос в том, как приложение получает эти теги для запроса AJAX (без угловых значений)? Я использовал protect_from_forgery с JQuery POST-запросами, никогда не удосужился получить этот токен CSRF, и это сработало. Как?
Драйвер Rails UJS использует jQuery.ajaxPrefilter как показано здесь: github.com/indirect/jquery-rails/blob/c1eb6ae/vendor/assets/… Вы можете просмотреть этот файл и увидеть все переходы по Rails, чтобы заставить его работать в значительной степени не беспокоясь об этом.
@BrandonTilley разве не имеет смысла делать это только на put и post вместо common ? Из руководства по безопасности rails : The solution to this is including a security token in non-GET requests
@denbuzze Не вижу причин не перечислять их, если хотите. Наше приложение использует POST , DELETE и PATCH . Я не уверен, является ли отправка токена через GET проблемой безопасности или нет, но если это не так, установка их с помощью common - это быстрый способ охватить все ваши базы.
@ Брэндон Тилли: извините, я должен снять отметку с вашего ответа, потому что ответ HungYuHei более готов к практическому использованию в моей ситуации. Если Stackoverflow позволяет, я бы отметил ваши ответы как лучшие ответы, потому что они дополняют друг друга.
Не беспокойся, это хороший ответ!
Как получить доступ к csrfToken без использования jquery $('meta[name=csrf-token]').attr('content') ? Так как $cookies которые XSRF-TOKEN , не доступны в блоке config , и обновление headers при run не приносит пользы.
У меня проблемы с последним. $httpProvider.defaults.headers.delete['X-CSRF-Token'] = csrfToken выдает эту ошибку: $injector:modulerr] Failed to instantiate module AngulaRails due to: undefined is not an object (evaluating '$httpProvider.defaults.headers["delete"]['X-CSRF-Token'] = csrfToken')
Любая идея, как вы должны настроить контроллер приложения и другие параметры, связанные с csrf / forgery, чтобы правильно использовать angular_rails_csrf?
И вы должны перезагрузить сервер после комплектации. Может быть, очевидно ...
На момент angular_rails_csrf этого комментария гем angular_rails_csrf не работал с Rails 5. Однако настройка заголовков запросов Angular со значением из метатега CSRF работает!
Существует новая версия гема, которая поддерживает Rails 5.
Почему вы вводите $injector вместо того, чтобы просто вводить $http ?
Это работает, но только думаю, что я добавил, это проверить, если запрос уже повторен. Когда это повторяется, мы не отправляем снова, так как он будет повторяться вечно.
это вызовет проблемы, если вы попытаетесь использовать rails 'session', поскольку для него будет установлено значение nil, если он не пройдёт тест на подделку, что будет всегда, так как вы не отправляете токен csrf со стороны клиента.
Спасибо за понимание. Действительно полезно знать.
Но если вы не используете сеансы Rails, все хорошо; благодарю вас! Я изо всех сил пытался найти самое чистое решение для этого.

HungYuHei · Accepted Answer · 2013-04-02T10-57-00.000Z

277

Лучший ответ

Я думаю, что чтение CSRF-значения из DOM не является хорошим решением, это просто обходной путь.

Вот форма документа angularJS официальный сайт http://docs.angularjs.org/api/ng.$http:

Поскольку только JavaScript, который работает в вашем домене, может читать cookie, ваш сервер может быть уверен, что XHR получен из JavaScript, запущенного в вашем домене.

Чтобы воспользоваться этим (CSRF Protection), вашему серверу необходимо установить токен в читаемом сеансе JavaScript cookie под названием XSRF-TOKEN при первом запросе HTTP GET. На последующих не-GET-запросы сервер может проверить соответствие файлов cookie HTTP-заголовок X-XSRF-TOKEN

Вот мое решение, основанное на этих инструкциях:

Сначала установите cookie:

# app/controllers/application_controller.rb

# Turn on request forgery protection
protect_from_forgery

after_filter :set_csrf_cookie_for_ng

def set_csrf_cookie_for_ng
  cookies['XSRF-TOKEN'] = form_authenticity_token if protect_against_forgery?
end

Затем мы должны проверить токен на каждом запросе, отличном от GET.
Поскольку Rails уже построена с помощью аналогичного метода, мы можем просто просто переопределить его для добавления нашей логики:

# app/controllers/application_controller.rb

protected

  # In Rails 4.2 and above
  def verified_request?
    super || valid_authenticity_token?(session, request.headers['X-XSRF-TOKEN'])
  end

  # In Rails 4.1 and below
  def verified_request?
    super || form_authenticity_token == request.headers['X-XSRF-TOKEN']
  end

HungYuHei 02 апр. 2013, в 10:57

18

Мне нравится эта техника, так как вам не нужно изменять какой-либо клиентский код.
Michelle Tilley 12 апр. 2013, в 16:16
2

Спасибо. Мне это нравится. Стоит отметить, что для того, чтобы этот код работал, должен присутствовать protect_from_forgery.
Paul 12 апр. 2013, в 18:22
11

Как это решение сохраняет полезность защиты от CSRF? При установке файла cookie браузер с пометкой пользователя будет отправлять этот файл cookie по всем последующим запросам, включая запросы между сайтами. Я мог бы создать вредоносный сторонний сайт, который отправлял бы вредоносный запрос, и браузер пользователя отправлял бы «XSRF-TOKEN» на сервер. Похоже, что это решение равносильно отключению защиты от CSRF.
Steven 19 апр. 2013, в 14:42
9

Из документации Angular: «Поскольку cookie может читать только JavaScript, который работает в вашем домене, ваш сервер может быть уверен, что XHR пришел из JavaScript, работающего в вашем домене». @ StevenXu - Как сторонний сайт будет читать куки?
Jimmy Baker 20 апр. 2013, в 19:22
8

@JimmyBaker: да, ты прав. Я просмотрел документацию. Подход концептуально обоснован. Я перепутал настройку куки с проверкой, не понимая, что в Angular фреймворк настраивал пользовательский заголовок на основе значения куки!
Steven 20 апр. 2013, в 21:08
0

просто наткнулся на это решение, и это здорово. Интересно, почему другие решения все еще используют код на стороне клиента?
giosakti 08 май 2013, в 01:54
1

не уверен, что это изменение в AngularJS, но заголовок X-XSRF-TOKEN (обратите внимание на тире вместо подчеркивания). В любом случае, как этот метод, так и приведенный ниже, работают как шарм. СПАСИБО!
Kubee 26 май 2013, в 18:28
0

@Kubee Да, это запутано, и даже источник Rails использует dashe, но в моем решении работает только подчеркивание. github.com/rails/rails/blob/...
HungYuHei 15 июнь 2013, в 06:41
0

должно быть: request.headers ['X-XSRF-TOKEN'] с черточками вместо подчеркивания. Я отправил изменения, но еще не рецензировал
Evan 09 июль 2013, в 23:42
0

@Evan Я тестировал, request.headers ['X_XSRF_TOKEN'] работает, а request.headers ['X-XSRF-TOKEN'] не работает
HungYuHei 23 июль 2013, в 10:17
0

Работал для меня, когда я использовал X-XSRF-TOKEN, и он сломался при использовании подчеркивания. Возможно, проблема с версией?
Daniel Fischer 13 авг. 2013, в 09:57
0

Для меня это "HTTP_X_XSRF_TOKEN". Вы можете подсмотреть заголовки из "Verified_request?" определение перед логическим выражением.
Jasper 18 сен. 2013, в 19:36
0

не должны ли мы проверить, что запрос сделан через xhr (таким образом, можно доверять как из того же домена) перед запуском фильтра after и установить токен csrf?
nakhli 13 июнь 2014, в 07:16
5

form_authenticity_token генерирует новые значения при каждом вызове в Rails 4.2, так что это больше не работает.
Dave 22 дек. 2014, в 18:30
0

Это нарушает код на стороне клиента для меня на рельсах 4.2 даже с правкой выше. Добавление / удаление записей попало в базу данных, но я получаю ошибку маршрутизации при ответе с помощью json через запрос ajax. К сожалению, «обходной путь» в ответе ниже работает.
ctilley79 02 март 2015, в 17:54
0

Должен ли файл cookie быть установлен как httponly для blog.codinghorror.com/protecting-your-cookies-httponly ? Если так, как бы вы это сделали?
Jonathan Mui 13 март 2015, в 23:22
1

Я только что добавил автоматические тесты для версий Rails с 3.0 до 4.2 в своем гем angular_rails_csrf, который использует этот шаблон. Несколько вещей: @HungYuHei: Использование черточек вроде X-XSRF-TOKEN кажется, работает нормально. @ Sinbadsoft.com: призыв к super в Verified_request verified_request? обрабатывает проверку на xhr? , @Dave: новые значения в каждом запросе в 4.2 просто «маскируются» и обрабатываются valid_authenticity_token? , @Jonathon Mui: cookie не является HttpOnly потому что он должен быть прочитан javascript и вставлен в заголовок, чтобы этот шаблон работал.
jsanders 04 июнь 2015, в 18:11
0

Хотя вышеприведенный способ работает, я предпочитаю @jsanders way [3-й ответ]
poorva 25 авг. 2015, в 09:31
2

Для меня (Rails 4.2.6) проверенный метод запроса должен был читать из cookie-переменной: super || valid_authenticity_token?(session, cookies['XSRF-TOKEN'])
tomascharad 14 июнь 2016, в 21:42
0

извините, но мне кажется, что файл cookie CSRF не решит этот сценарий: guides.rubyonrails.org/… не могли бы вы рассказать об этом подробнее ?
equivalent8 12 окт. 2017, в 14:25

Показать ещё 18 комментариев