在我的请求方法中,我使用csrf标记设置标头,如下所示：

var token = document.querySelector("Meta[name='csrf-token']").content;
xhr.setRequestHeader("X-CSRF-Token",token);

并在我的控制器中插入一个断点,如下所示：

def verify_authenticity_token
  binding.pry
  super
end

我已验证标头已设置：

[1] pry(#<MyController>)> request.headers
=> #<ActionDispatch::Http::Headers:0x007fb227cbf490
 @env=
  {"CONTENT_LENGTH"=>"202",.
   .
   .
   # omitted headers
   .
   .
   .
   "HTTP_X_CSRF_TOKEN"=>"the-correct-token-from-Meta-tag",.
   .
   .
  }

我还尝试使用密钥authenticity_token(就像使用Rails表单一样)将令牌作为参数传递,并将X-CSRF-Param标记设置为匹配(来自Meta [name =“csrf-param”]).

但我仍然得到：

Can't verify CSRF token authenticity
Completed 422 Unprocessable Entity in 14638ms

ActionController::InvalidAuthenticityToken (ActionController::InvalidAuthenticityToken

有人见过这个吗？有什么可能导致这个问题的想法吗？

提前致谢！

编辑：

在marflar的回答的评论中讨论后,看起来令牌在请求发生时已经过期(通过与form_authenticity_token比较来测试).这让我更加困惑,因为在<％= csrf_Meta_tags％>中设置了令牌.当下一个请求进来时过期.有什么想法吗？

EDIT2：按照下面的marflar的建议,我将以下after_filter添加到我的app控制器：

def set_csrf_headers
  response.headers['X-CSRF-Param'] = request_forgery_protection_token.to_s
  response.headers['X-CSRF-Token'] = form_authenticity_token
end

我在我的请求方法中更新了xhr.onload,如下所示：

namespace.request = = function (type,url,opts,callback) {

// code omitted

  xhr.onload = function () {
    setCSRFHeaders(xhr);
    var res = {data: JSON.parse(xhr.response),status: xhr.status};
    return callback.call(xhr,null,res);
  };

// code omitted

}

function setCSRFHeaders ( xhr ) {
  var csrf_param = xhr.getResponseHeader('X-CSRF-Param');
  var csrf_token = xhr.getResponseHeader('X-CSRF-Token');

  if (csrf_param) {
    document.querySelector("Meta[name='csrf-param']").content = csrf_param;
  }
  if (csrf_token) {
    document.querySelector("Meta[name='csrf-token']").content = csrf_token;
  }
}

我验证了响应标头,然后元标记正在被正确重置,但是,当下一个请求进入时,这个新标记再次过期.思考？