Я запутался в странный CSRF, где я пытаюсь получить доступ к файлу javascript, загруженному на моем сервере rails. У меня есть контроллер, например:
class SomeController < ApplicationController
def show
some_path = "/some/js/file/on/disk.js"
send_file(some_path, type: "text/javascript", disposition: :inline)
end
end
Однако при переходе на http://localhost:3000/somes/1 появляется сообщение об ошибке:
Предупреждение о безопасности: встроенный тэг на другом запрошенном сайте защищенный JavaScript. Если вы знаете, что делаете, идите вперед и отключите защиту от подделок в этом действии, чтобы разрешить перекрестное происхождение Встраивание JavaScript.
Извлеченный источник (вокруг строки # 225):
if marked_for_same_origin_verification? && non_xhr_javascript_response? logger.warn CROSS_ORIGIN_JAVASCRIPT_WARNING if logger raise ActionController::InvalidCrossOriginRequest, CROSS_ORIGIN_JAVASCRIPT_WARNING end end
Обратите внимание, что я обращаюсь к этой странице напрямую, а это значит, что нет макета, поэтому я не могу включить токен CSRF в свой макет.
Есть ли что-то, что нужно сделать по-другому, чтобы правильно получить доступ к этому ресурсу?
РЕДАКТИРОВАТЬ: Для запроса комментариев я добавил полный трассировку ниже.
actionpack (4.2.6) Библиотека/action_controller/металл/request_forgery_protection.rb: 225: в
verify_same_origin_request' activesupport (4.2.6) lib/active_support/callbacks.rb:432:inблок в make_lambda ' activesupport (4.2.6) lib/active_support/callbacks.rb: 239: inblock in halting' activesupport (4.2.6) lib/active_support/callbacks.rb:506:inblock in call 'activesupport (4.2.6) lib/active_support/callbacks.rb: 506: ineach' activesupport (4.2.6) lib/active_support/callbacks.rb:506:incall 'activesupport (4.2.6) lib/active_support/callbacks.rb: 92: in__run_callbacks__' activesupport (4.2.6) lib/active_support/callbacks.rb:778:in_run_process_action_callbacks 'activesupport (4.2.6) lib/active_support/callbacks.rb: 81: inrun_callbacks' actionpack (4.2.6) lib/abstract_controller/callbacks.rb:19:inprocess_action ' actionpack (4.2.6) lib/action_controller/metal/rescue.rb: 29: inprocess_action' actionpack (4.2.6) lib/action_controller/metal/instrumentation.rb:32:inзаблокировать process_action 'activesupport (4.2.6) lib/active_support/notifications.rb: 164: inblock in instrument' activesupport (4.2.6) lib/active_support/notifications/instrumenter.rb:20:ininstrument ' activesupport (4.2.6) lib/active_support/notifications.rb: 164: ininstrument' actionpack (4.2.6) lib/action_controller/metal/instrumentation.rb:30:inprocess_action "actionpack (4.2.6) lib/action_controller/metal/params_wrapper.rb: 250: inprocess_action' activerecord (4.2.6) lib/active_record/railties/controller_runtime.rb:18:inprocess_action 'actionpack (4.2.6) lib/abstract_controller/base.rb: 137: inprocess' actionview (4.2.6) lib/action_view/rendering.rb:30:inprocess 'actionpack (4.2.6) lib/action_controller/metal.rb: 196: indispatch' actionpack (4.2.6) lib/action_controller/metal/rack_delegation.rb:13:inотправка ' actionpack (4.2.6) lib/action_controller/metal.rb: 237: inblock in action' actionpack (4.2.6) lib/action_dispatch/routing/route_set.rb:74:inотправка" actionpack (4.2.6) lib/action_dispatch/routing/route_set.rb: 43: inserve' actionpack (4.2.6) lib/action_dispatch/journey/router.rb:43:inblock в сервисный пакет (4.2.6) lib/action_dispatch/travel/router.rb: 30: ineach' actionpack (4.2.6) lib/action_dispatch/journey/router.rb:30:inserve 'actionpack (4.2.6) lib/action_dispatch/routing/route_set.rb: 817: incall' bullet (5.1.1) lib/bullet/rack.rb:12:incall 'warden (1.2.6) lib/warden/manager.rb: 35: inblock in call' warden (1.2.6) lib/warden/manager.rb:34:incatch 'warden (1.2.6) lib/warden/manager.rb: 34: incall' rack (1.6.4) lib/rack/etag.rb:24:incall 'rack (1.6.4) lib/rack/conditionalget.rb: 25: incall' rack (1.6.4) lib/rack/head.rb:13:incall' actionpack (4.2.6) lib/action_dispatch/middleware/params_parser.rb: 27: incall' actionpack (4.2.6) lib/action_dispatch/middleware/flash.rb:260:incall 'rack (1.6.4) lib/rack/session/abstract/id.rb: 225: incontext' rack (1.6.4) lib/rack/session/abstract/id.rb:220:incall' actionpack (4.2.6) lib/action_dispatch/middleware/cookies.rb: 560: incall' activerecord (4.2.6) lib/active_record/query_cache.rb:36:incall ' activerecord (4.2.6) Библиотека/active_record/connection_adapters/аннотация/connection_pool.rb: 653: вcall' activerecord (4.2.6) lib/active_record/migration.rb:377:incall 'actionpack (4.2.6) lib/action_dispatch/middleware/callbacks.rb: 29: inblock in call' activesupport (4.2.6) lib/active_support/callbacks.rb:88:inrun_callbacks 'activesupport (4.2.6) lib/active_support/callbacks.rb: 778: in_run_call_callbacks' activesupport (4.2.6) lib/active_support/callbacks.rb:81:inrun_callbacks 'actionpack (4.2.6) lib/action_dispatch/middleware/callbacks.rb: 27: incall' actionpack (4.2.6) lib/action_dispatch/middleware/reloader.rb:73:incall ' actionpack (4.2.6) lib/action_dispatch/middleware/remote_ip.rb: 78: incall' actionpack (4.2.6) lib/action_dispatch/middleware/debug_exceptions.rb:17:inВызов" web-консоль (2.3.0) lib/web_console/middleware.rb: 28: inblock in call' web-console (2.3.0) lib/web_console/middleware.rb:18:incatch ' web-консоль (2.3.0) lib/web_console/middleware.rb: 18: incall' actionpack (4.2.6) lib/action_dispatch/middleware/show_exceptions.rb:30:incall ' railties (4.2.6) lib/rails/rack/logger.rb: 38: incall_app' railties (4.2.6) lib/rails/rack/logger.rb:20:inblock in call 'activesupport (4.2.6) lib/active_support/tagged_logging.rb: 68: inblock in tagged' activesupport (4.2.6) lib/active_support/tagged_logging.rb:26:intagged 'activesupport (4.2.6) lib/active_support/tagged_logging.rb: 68: intagged' railties (4.2.6) lib/rails/rack/logger.rb:20:inвызов 'quiet_assets (1.1.0) lib/quiet_assets.rb: 27: incall_with_quiet_assets' request_store (1.3.1) lib/request_store/middleware.rb:9:incall 'actionpack (4.2.6) lib/action_dispatch/middleware/request_id.rb: 21: incall' rack (1.6.4) lib/rack/methodoverride.rb:22:incall 'rack (1.6.4) lib/rack/runtime.rb: 18: incall' activesupport (4.2.6) lib/active_support/cache/strategy/local_cache_middleware.rb:28:incall 'rack (1.6.4) lib/rack/lock.rb: 17: incall' actionpack (4.2.6) lib/action_dispatch/middleware/static.rb:120:incall' rack (1.6.4) lib/rack/sendfile.rb: 113: incall' railties (4.2.6) lib/rails/engine.rb:518:incall 'railties (4.2.6) lib/rails/application.rb: 165: incall' rack (1.6.4) lib/rack/content_length.rb:15:inвызов 'puma (3.5.0) lib/puma/configuration.rb: 225: incall' puma (3.5.0) lib/puma/server.rb:569:inhandle_request 'puma (3.5.0) lib/puma/server.rb: 406: inprocess_client' puma (3.5.0) lib/puma/server.rb:271:inblock in run 'puma (3.5.0) lib/puma/thread_pool.rb: 116: в `block in spawn_thread '
Некоторые предложения:
1) Не забудьте добавить <%= csrf_meta_tag %> в макет
2) Убедитесь, что вы включили скрытое поле csrf-token. Например, если вы используете форму в представлении show. Обычно разработчики форм делают это автоматически.
3) Установите application/javascript" в файле send_file
if request.format.js?
send_file(assetfilename, type: 'application/javascript')
else
send_file(assetfilename)
end
Как говорится в сообщении об ошибке, вам необходимо отключить защиту подделок для этого действия.
class SomeController < ApplicationController
skip_before_action :verify_authenticity_token, only: :show
def show
some_path = "/some/js/file/on/disk.js"
send_file(some_path, type: "text/javascript", disposition: :inline)
end
end
Проверка условий, при которых возникает ошибка:
marked_for_same_origin_verification? && non_xhr_javascript_response?
Я пошел в и нашел:
# GET requests are checked for cross-origin JavaScript after rendering.
def mark_for_same_origin_verification!
@marked_for_same_origin_verification = request.get?
end
# If the `verify_authenticity_token` before_action ran, verify that
# JavaScript responses are only served to same-origin GET requests.
def marked_for_same_origin_verification?
@marked_for_same_origin_verification ||= false
end
Итак, это похоже на истину, если это запрос GET.
В то же время,
def non_xhr_javascript_response?
content_type =~ %r(\Atext/javascript) && !request.xhr?
end
Что, как представляется, описывает ваш ответ - запрос без XHR, приводящий файл с текстом /javascript.
Я предполагаю, что вы могли бы избежать этого (кроме пропущенных verify_authenticity_token), разветкив ветвь рельсов и изменив одно из этих условий, или внедрив некоторый макет, чтобы ответ был не просто javascript.
Я не буду спрашивать, почему вы используете контроллер для отправки javascript файла в браузер, хотя это не кажется хорошей идеей. Надеюсь, эти предложения помогут.
Вы можете попробовать
class SomeController < ApplicationController
def show
some_path = "/some/js/file/on/disk.js"
respond_to do |format|
format.js {
send_file(some_path, type: "text/javascript", disposition: :inline)
}
format.html {
"Html request from browser. Try sending a js request to get <Javascript>"
}
end
end
end
Другой ответ - изменить обработку CSRF. Это похоже на ответ, который предложил Михал,
class SomeController < ApplicationController
protect_from_forgery except: :show
...
end
По моему мнению, изменение подхода к управлению CSRF значительно шире. Отключение CSRF для данного метода в контроллере предоставляет то, что вам может не понравиться.
Вот несколько дополнительных предложений.
Он может быть старомодным, но curl позволяет получить полный контроль над заголовками HTTP-запросов, а также увидеть полный HTTP-запрос ответ. Вызвав curl -H "Content-Type: application/javascript" http://someurl/here/1, вы сможете точно увидеть, что происходит и почему ваш браузер не может обслуживать запрошенный файл javascript, или если есть обходной путь.
Наконец, если вы пытаетесь обслуживать статические (javascript) файлы в Rails, существует много дополнительных накладных и потенциальных рисков безопасности, использующих контроллер для выполнения этого действия. Если для использования контроллера не существует веских оснований, более простым решением было бы хранить файлы в подкаталоге каталога. /public на сервере, чтобы каждый и каждый могли читать файл (ы). Когда вы развертываете приложение в производственной среде, это может сэкономить еще больше накладных расходов, но это выходит за рамки вашего первоначального вопроса.
Удачи!