Szyny CSRF Ochrona + kątowa.js: ochrona przed fałszerstwem sprawia, że muszę się wylogować na poczcie

Jeśli używasz domyślnej ochrony rails CSRF (<%= csrf_meta_tags %>), możesz skonfigurować swój moduł kątowy w następujący sposób:

myAngularApp.config ["$httpProvider", ($httpProvider) ->
  $httpProvider.defaults.headers.common['X-CSRF-Token'] = $('meta[name=csrf-token]').attr('content')
]

Lub, jeśli nie używasz CoffeeScript (co!?):

myAngularApp.config([
  "$httpProvider", function($httpProvider) {
    $httpProvider.defaults.headers.common['X-CSRF-Token'] = $('meta[name=csrf-token]').attr('content');
  }
]);

Jeśli wolisz, możesz wysłać nagłówek tylko na żądania non-GET z czymś takim jak:

myAngularApp.config ["$httpProvider", ($httpProvider) ->
  csrfToken = $('meta[name=csrf-token]').attr('content')
  $httpProvider.defaults.headers.post['X-CSRF-Token'] = csrfToken
  $httpProvider.defaults.headers.put['X-CSRF-Token'] = csrfToken
  $httpProvider.defaults.headers.patch['X-CSRF-Token'] = csrfToken
  $httpProvider.defaults.headers.delete['X-CSRF-Token'] = csrfToken
]

Sprawdź również odpowiedź HungYuHei , która obejmuje wszystkie bazy na serwerze, a nie na kliencie.

The angular_rails_csrf gem automatycznie dodaje obsługę wzorca opisanego w HungYuHei ' s answer do wszystkich kontrolerów:

# Gemfile
gem 'angular_rails_csrf'

Odpowiedź, która łączy wszystkie poprzednie odpowiedzi i polega na tym, że używasz gem uwierzytelniania Devise.

Po pierwsze, dodaj klejnot:

gem 'angular_rails_csrf'

Następnie dodaj rescue_from Blok do application_controller.rb:

protect_from_forgery with: :exception

rescue_from ActionController::InvalidAuthenticityToken do |exception|
  cookies['XSRF-TOKEN'] = form_authenticity_token if protect_against_forgery?
  render text: 'Invalid authenticity token', status: :unprocessable_entity
end

I na koniec dodaj moduł interceptor do aplikacji angular.

# coffee script
app.factory 'csrfInterceptor', ['$q', '$injector', ($q, $injector) ->
  responseError: (rejection) ->
    if rejection.status == 422 && rejection.data == 'Invalid authenticity token'
        deferred = $q.defer()

        successCallback = (resp) ->
          deferred.resolve(resp)
        errorCallback = (resp) ->
          deferred.reject(resp)

        $http = $http || $injector.get('$http')
        $http(rejection.config).then(successCallback, errorCallback)
        return deferred.promise

    $q.reject(rejection)
]

app.config ($httpProvider) ->
  $httpProvider.interceptors.unshift('csrfInterceptor')

Widziałem inne odpowiedzi i myślałem, że są świetne i dobrze przemyślane. Mam moją aplikację rails działającą z tym, co myślałem, że jest prostszym rozwiązaniem, więc pomyślałem, że się podzielę. Moja aplikacja rails pojawiła się z tym domyślnie,

class ApplicationController < ActionController::Base
  # Prevent CSRF attacks by raising an exception.
  # For APIs, you may want to use :null_session instead.
  protect_from_forgery with: :exception
end

Przeczytałem komentarze i wydawało mi się, że to jest to, co chcę użyć angular i uniknąć błędu csrf. Zmieniłem na to,

class ApplicationController < ActionController::Base
  # Prevent CSRF attacks by raising an exception.
  # For APIs, you may want to use :null_session instead.
  protect_from_forgery with: :null_session
end

I teraz to działa! Nie widzę powodu, dla którego miałoby to nie działać, ale chciałbym usłyszeć jakieś spostrzeżenia od innych plakaty.

Użyłem treści z odpowiedzi HungYuHei w moim zgłoszeniu. Okazało się jednak, że mam do czynienia z kilkoma dodatkowymi problemami, niektóre z powodu mojego użycia Devise do uwierzytelniania, a niektóre z powodu domyślnej, że mam z moją aplikacją: {]}

protect_from_forgery with: :exception

Zwracam uwagę na powiązanepytanie o przepełnienie stosu i odpowiedzi tam , i napisałem znacznie bardziej obszernypost na blogu , który podsumowuje różne rozważania. Części tego rozwiązania, które są tu istotne są, w kontrolerze aplikacji:

  protect_from_forgery with: :exception

  after_filter :set_csrf_cookie_for_ng

  def set_csrf_cookie_for_ng
    cookies['XSRF-TOKEN'] = form_authenticity_token if protect_against_forgery?
  end

  rescue_from ActionController::InvalidAuthenticityToken do |exception|
    cookies['XSRF-TOKEN'] = form_authenticity_token if protect_against_forgery?
    render :error => 'Invalid authenticity token', {:status => :unprocessable_entity} 
  end

protected
  def verified_request?
    super || form_authenticity_token == request.headers['X-XSRF-TOKEN']
  end

Znalazłem bardzo szybkie włamanie do tego. Wszystko co musiałem zrobić to:

A. moim zdaniem inicjalizuję zmienną $scope, która zawiera token, powiedzmy przed formularzem, lub jeszcze lepiej przy inicjalizacji kontrolera:

<div ng-controller="MyCtrl" ng-init="authenticity_token = '<%= form_authenticity_token %>'">

B. W moim kontrolerze AngularJS, przed zapisaniem nowego wpisu, dodaję token do hasha:

$scope.addEntry = ->
    $scope.newEntry.authenticity_token = $scope.authenticity_token 
    entry = Entry.save($scope.newEntry)
    $scope.entries.push(entry)
    $scope.newEntry = {}

 angular
  .module('corsInterceptor', ['ngCookies'])
  .factory(
    'corsInterceptor',
    function ($cookies) {
      return {
        request: function(config) {
          config.headers["X-XSRF-TOKEN"] = $cookies.get('XSRF-TOKEN');
          return config;
        }
      };
    }
  );