问合法用户如何在Rails中提交无效的CSRF令牌？

EN

以下是我们所知道的：

• 导致InvalidAuthenticityToken异常的合法表单提交以某种方式丢失了原始的CSRF令牌。
• 令牌保存在会话中，会话保存在加密的cookie中。因此，此错误意味着自表单生成以来，它们的会话cookie已经发生了更改。
• 除非用户的浏览器窗口关闭，否则会话cookie不会过期。

我现在认为，合法用户可以提交无效的CSRF令牌的方式有两种。

请注意，这些方法特别适用于Rails 4.2。据我所知，Rails 5中的“每种形式的CSRF令牌”功能可能会减轻它们的影响。

1.另一个选项卡中的会话更改

根据@crazymykl的回答，用户可以打开表单，然后在另一个选项卡中注销。这将导致存储在用户浏览器中的会话cookie发生更改。当它们返回到原始选项卡并提交表单时，来自表单的令牌将与会话中的令牌不匹配，并且会弹出错误。

2.缓存

根据这个rails错误，在某些情况下，Safari的缓存行为很奇怪。告诉它使用与上次相同的窗口重新打开(通过Safari > Preferences > General)，打开表单和退出Safari将导致表单被重新显示。

提交缓存的表单会导致CSRF错误。当bug的开场白结束时，Safari似乎缓存了页面，但删除了会话cookie。因此出现了错配。

这个问题的解决方案是使用指令Cache-Control设置一个no-store头。( no-cache和no-store的差异解释了这里)。

欢迎更多的例子:)。

用户可以注销并重新登录，但是有一个选项卡，其中有一个从旧会话打开的表单。那会送出旧的记号。

您是否使用Ajax表单来提交请求？您的页面有多个表单吗？如果是，请检查您的代码是否与请求一起提交了正确的csrf令牌。我们有类似的问题，页面是用一个csrf令牌呈现的，我们使用这个令牌来提交一个表单，我们本来可以得到另一个csrf令牌，但是第二个是发送导致错误的旧csrf令牌。我不知道这有什么帮助，但想和大家分享我面临的类似问题。