Rails 4.0だとCSRFトークンでエラーになる
ついにRails 4がリリースされたので軽く触ってみたら、3.xから変わったところを見つけたので共有。まだ日本語の情報は見当たらなかった。
APIを試しに作ってみようと思いcurlでPOSTリクエストを送ろうとしたら以下のようなエラーが。
$ curl -X POST -d "name='hoge'" http://localhost:3000/bikes
Can't verify CSRF token authenticity
Completed 422 Unprocessable Entity in 1ms
ActionController::InvalidAuthenticityToken (ActionController::InvalidAuthenticityToken):
...
Rails 3.xのときはWarningは出たものの、エラーにはならなかったような…。
application_controller.rbを見てみると、以下のようなコメントがありました。
class ApplicationController < ActionController::Base
# Prevent CSRF attacks by raising an exception.
# For APIs, you may want to use :null_session instead.
protect_from_forgery with: :exception
end
どうやらAPIを作りたい場合は、:exceptionではなく:null_sessionを使うといいようです。
気になってactionpackのソースコードを読んでみました。Rails 3.xのときにソースコードを読んだときの記事を最後に載せたので参考にしてみてください。
def protect_from_forgery(options = {})
self.forgery_protection_strategy = protection_method_class(options[:with] || :null_session)
self.request_forgery_protection_token ||= :authenticity_token
prepend_before_action :verify_authenticity_token, options
end
3.xのときと比べると32行目のforgery_protection_strategyというのが新しく追加されたようです。withオプションで指定したクラスをセットしているようなので詳しく見てみます。
def protection_method_class(name)
ActionController::RequestForgeryProtection::ProtectionMethods.const_get(name.to_s.classify)
rescue NameError
raise ArgumentError, 'Invalid request forgery protection method, use :null_session, :exception, or :reset_session'
end
デフォルトのように:exceptionが指定されてる場合はExceptionクラスが、今回のようにAPI用に使う:null_sessionが指定された場合はNullSessionクラスがどこかに定義されているようです。
class Exception
def initialize(controller)
@controller = controller
end
def handle_unverified_request
raise ActionController::InvalidAuthenticityToken
end
end
あったあった。どこかのタイミングでhandle_unverified_requestが呼ばれて、冒頭のように例外が発生するわけですね。
class ResetSession
def initialize(controller)
@controller = controller
end
def handle_unverified_request
@controller.reset_session
end
end
さらにResetSessionというクラスも見つかりました。これは例外を発生させる代わりにセッションをリセットするみたいです。これはRails 3.xのときと同じ挙動だったと思います。
class NullSession
# ...
# This is the method that defines the application behavior when a request is found to be unverified.
def handle_unverified_request
request = @controller.request
request.session = NullSessionHash.new(request.env)
request.env['action_dispatch.request.flash_hash'] = nil
request.env['rack.session.options'] = { skip: true }
request.env['action_dispatch.cookies'] = NullCookieJar.build(request)
end
# ...
end
で、NullSessionクラスを見てみると、NullSessionHashオブジェクトとNullCookieJarオブジェクトというのが出てきますが、こいつらはどうやら中身が空っぽのモックオブジェクトっぽいです。
参考
Rails 3.xのときにprotect_from_forgeryの中身を追いかけた記録です。