teratail
回答率
85.30%
teratail header banner
teratail header banner
質問するログイン新規登録
トップに関する質問authenticity_token がパラメータにうめこまれているにもかかわらず CSRF に失敗する

編集履歴

質問編集履歴

4

fix

2020/12/04 07:17

投稿

mixberryparfait
mixberryparfait

スコア21

title CHANGED
File without changes
body CHANGED
@@ -12,6 +12,7 @@
12
12
  ログイン画面のビューには authenticity_token は埋め込まれていて
13
13
  Rails のログを見る限りパラメータとしては飛んできています
14
14
 
15
+ (トークンを公開することのリスクがわかってないので念のため伏字におきかえてあります)
15
16
  ```
16
17
  I, [2020-12-04T06:06:42.750789 #10006] INFO -- : Started POST "/users/sign_in" for 172.20.1.1 at 2020-12-04 06:06:42 +0000
17
18
  I, [2020-12-04T06:06:42.774239 #10006] INFO -- : Cannot render console from 172.20.1.1! Allowed networks: 127.0.0.1, ::1, 127.0.0.0/127.255.255.255

3

fix

2020/12/04 07:17

投稿

mixberryparfait
mixberryparfait

スコア21

title CHANGED
File without changes
body CHANGED
@@ -112,6 +112,12 @@
112
112
  Rails がかってに埋め込んだり処理してくれてると思うんですが
113
113
  原因特定に必要なソースがあれば提示します
114
114
 
115
+ app/views/layouts/application.html.haml には
116
+ ```
117
+ = csrf_meta_tags
118
+ ```
119
+ はかかれてあります
120
+
115
121
  ### 試したこと
116
122
 
117
123
  エラーをはいている

2

fix

2020/12/04 07:13

投稿

mixberryparfait
mixberryparfait

スコア21

title CHANGED
File without changes
body CHANGED
@@ -24,7 +24,7 @@
24
24
 
25
25
 
26
26
  I, [2020-12-04T06:06:44.481082 #10006] INFO -- : Processing by Users::SessionsController#new as HTML
27
- I, [2020-12-04T06:06:44.481563 #10006] INFO -- : Parameters: {"utf8"=>"✓", "authenticity_token"=>"xxxxx", "user"=>{"email"=>"test_admin@test.com", "password"=>"[FILTERED]", "remember_me"=>"1"}}
27
+ I, [2020-12-04T06:06:44.481563 #10006] INFO -- : Parameters: {"utf8"=>"✓", "authenticity_token"=>"xxxxx", "user"=>{"email"=>"test@test.com", "password"=>"[FILTERED]", "remember_me"=>"1"}}
28
28
  W, [2020-12-04T06:06:44.494312 #10006] WARN -- : Can't verify CSRF token authenticity.
29
29
  I, [2020-12-04T06:06:44.495802 #10006] INFO -- : Completed 422 Unprocessable Entity in 13ms (ActiveRecord: 0.0ms)
30
30
 

1

追記

2020/12/04 07:10

投稿

mixberryparfait
mixberryparfait

スコア21

title CHANGED
File without changes
body CHANGED
@@ -106,6 +106,12 @@
106
106
  puma (3.12.6) lib/puma/thread_pool.rb:135:in `block in spawn_thread'
107
107
  ```
108
108
 
109
+ ### 該当のソースコード
110
+
111
+ CSRF に関係する部分はとくに明示的に何かかいてるわけではなく
112
+ Rails がかってに埋め込んだり処理してくれてると思うんですが
113
+ 原因特定に必要なソースがあれば提示します
114
+
109
115
  ### 試したこと
110
116
 
111
117
  エラーをはいている