ActionController::InvalidAuthenticityToken | zilog
Railsでformメソッドを使わずにPOSTなど、GET以外でデータを送信すると ActionController::InvalidAuthenticityToken というエラー(HTTPステータスコード422)が返されることがあります これはRails標準のCSRF対策で、GET以外のデータ受信時にサーバ側で生成されるトークンが要求されるために起こります formメソッドを使えば自動的にトークンを生成して埋め込んでくれますので普通は遭遇しないのですが… 今回自分はGreasemonkeyScriptからxmlhttpRequestでPOSTして嵌りました 今回は外部から利用してもらうこと(APIのつもり)が前提なのでそのメソッドだけ skip_before_filter :verify_authenticity_token ,:only=>[:action_name] をコントロ
201 blog Created [Rails]authenticity_tokenを外す方法。
自分がハマったのでメモ程度に。 そもそもauthenticity_tokenとはなにかというと、 CSRF(Cross-Site Request Forgeries)を防止する目的で設置されたものです。 GET以外のメソッドでリクエストがあった場合(POST、PUT、DELETE)に、 セッションに格納されたauthenticity_tokenと渡されたパラメータを比較して同じ値であれば通すという代物。 しかしこれが厄介。 例えば別サイトにフォームからPOSTした後に、そのサイトから再びPOSTされて戻ってくる場合。 特になにもしなければInvalidAuthenticityTokenというエラーが出るでしょう。 これは「渡ってきた値が違うよ!よ!」言うてます。 でもauthenticity_tokenなんて設定した憶えがないし、viewに表示されてないじゃん。 ソースを見てみると、フォー
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ActionController::InvalidAuthenticityTokenというエラーの回避方法(Ruby on Rails) - 雪見之蔵
