“警告：无法validationCSRF令牌真实性”错误 – 使用Devise的CORS和：token_authenticatable

我有一个单页面应用程序使用CORSvalidation到另一个域。 所有请求都是JSON请求。

我的应用程序可以validation确定，可以使GET请求正常。 身份validation使用token_authenticatable。 即所有请求附加’？auth_token = whatever’

所以，我的实际问题是，当我尝试执行PUT请求时，我得到一个警告：无法在rails日志中validationCSRF令牌真实性消息以及CanCan :: AccessDenied（您无权访问此页面。 ）例外。

只需将skip_before_filter :verify_authenticity_token添加到rails控制器即可解决问题。

因此，我只能得出结论，我的ajax请求发送的是无效或空的csrf_token。

我真的不明白这是怎么回事，因为我相信我正确地发送了每个ajax请求的X-CSRF-Token报头。

基本上，我的应用程序validation并且Devise发送回auth_token和csrf_token：

 render :status => 200, :json => { :auth_token => @user.authentication_token, :csrf_token => form_authenticity_token } 

然后我在我的ajax应用程序中存储这些标记，并在jQuery中使用ajaxSend ，设置它以便jQuery通过每个请求传递这些标记：

 initialize: -> @bindTo $(document), 'ajaxSend', @appendTokensToRequest appendTokensToRequest: (event, jqXHR, options) -> if not @authToken? then return if @csrfToken? jqXHR.setRequestHeader 'X-CSRF-Token', @csrfToken if options.type is 'POST' options.data = options.data + (if options.data.match(/\=/) then '&' else '') + $.param auth_token:@authToken else options.url = options.url + (if options.url.match(/\?/) then '&' else '?') + $.param auth_token:@authToken 

然后，我可以在chrome网络选项卡中看到，每个GET请求auth_token发送auth_token参数，以及X-CSRF-Token标头。

然而，在PUT请求它似乎没有工作。

我的理论是CORS正在填补空白。 如果您发出CORS请求，您的浏览器实际上会首先发出一个额外的 OPTIONS请求，以检查您是否有权访问此资源。

我怀疑OPTIONS请求没有传递X-CSRF-Token标头，因此rails会立即使rails端的csrf_token无效。 然后，当jQuery发出实际的PUT请求时，它传递的csrf_token不再有效。

这可能是问题吗？

我该怎么做才能certificate这一点？ Chrome似乎没有向我显示网络标签中的OPTIONS请求，以帮助我调试问题。

这不是一个重大问题，因为我可以关闭CSRF的东西。 但我想知道它为什么不起作用。

• ActionMailer有时不发送？
• Active Admin中的自定义表单

• 如何在Rails 4 App中启用CORS
• 使用Rails，jquery和best_in_place gem进行就地编辑
• Rails使用JSON对象呈现部分
• Rails 3：如何进行Ajax调用？
• Rails未知格式错误（HTML和JS）
• Rails – 通过选择下拉菜单执行ajax调用
• Rails 3：使用AJAX请求更新URL参数
• Rails – 会话无法通过AJAX登录？
• 通过AJAX将动态字段添加到嵌套表单