经验：在Rails 2.3.2下使用Ajax出现的InvalidAuthenticityToken错误 -

ScorpioX

浏览: 945 次
性别:
来自: 北京

最近访客更多访客>>

博主相关

博客

微博

相册

留言

关于我

文章分类

全部博客 (1)

社区版块

存档分类

2009-07 ( 1)
更多存档...

经验：在Rails 2.3.2下使用Ajax出现的InvalidAuthenticityToken错误

Rails Ajax JavaScript json Ruby

把一个老的应用从Rails 2.2.2搬迁到2.3.2环境下之后，发现所有的Ajax请求都出InvalidAuthenticityToken访问错误，而且在所有浏览器平台都是这个问题。Rails代码里没什么特殊的设置，就是在environment.rb里设置一个session_key和secret，另外在controller里写了一句protect_from_forgery

经过多次跟踪尝试后，终于发现了问题所在：Rails 2.3.2的form_authenticity_token生成算法有所改变！
在2.2.2下，form_authenticity_token都是字母和数字构成，例如: "757942043a3b2509365263ef66ff4589e61c2eaa"，这样的字符在请求发送时不需要额外编码。
而2.3.2下，form_authenticity_token中出现了很多特殊字符，例如: "vfbzRs6tLb0xZ/cxaML85y+JODOE+P4klbzue0CIef8="，而我的JavaScript代码里没有加以编码。

最后，JS里加上一句encodeURIComponent(auth_token)就好了，所有的InvalidAuthenticityToken问题全部消失！

不大不小的教训，分享一下，作为前车之鉴！

分享到：

2009-07-08 16:22
浏览 945
评论(2)
论坛回复 / 浏览 (2 / 3593)
查看更多

2 楼 ScorpioX 2009-08-04

我是用Ajax取回的的JSON串里包含的form_authenticity_token，不是在页面里取的。

render :json => { :token => form_authenticity_token }

其实输出UTF-8是会影响性能的，所以encoding这件事我觉得还是丢给前台的浏览器解决吧，毕竟服务器资源有限，而前台的负载相对很低的:)

1 楼司徒正美 2009-07-16

我永远是UTF-8

<%= javascript_tag "window._token = '#{form_authenticity_token}'" if ActionController::Base.allow_forgery_protection %>

application.js就可以

…………………………
            new Ajax.Request(action, {
                asynchronous:true,
                evalScripts:true,
                parameters:Form.serialize(this) + '&authenticity_token=' + window._token
            });
…………………………

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

经验：在Rails 2.3.2下使用Ajax出现的InvalidAuthenticityToken错误

评论

发表评论

相关推荐

最近访客 更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

经验：在Rails 2.3.2下使用Ajax出现的InvalidAuthenticityToken错误

评论

发表评论

相关推荐

最近访客更多访客>>