我遇到了奇怪的问题。我正在我的网站上实现购物车功能,并使用会话来存储购物车位置。我有一个 POST 操作来将新位置添加到购物车,并且我启用了 CSRF 过滤器来保护网站。我在产品页面上用ajax调用它,所以第一次调用没问题,但第二次调用说未经授权,并且在日志中有[CSRF] Check failed because no token found in headers for /cart
。但确实如此。我这样称呼它:
$("form").submit(function(e){
e.preventDefault();
$.ajax({
url: '/cart',
method: 'POST',
data: getCartPosition(),
beforeSend: function(xhr){xhr.setRequestHeader('Csrf-Token', $('input[name=csrfToken]').val());},
success: function (data, textStatus) {
alert('Added!');
},
error: function (error) {
alert('Error!');
}
});
});
我将 CSRF 令牌放入模板中的某处:
@CSRF.formField
并要求:
我已在配置中启用此功能
play.filters.csrf.bypassCorsTrustedOrigins=true
play.filters.hosts {
# Allow requests to example.com, its subdomains, and localhost:9000
allowed = ["localhost:9000", "localhost:4200"]
}
但奇怪的是,它似乎将 csrfToken 放入会话中,因为请求失败后我有这样的会话
Session(Map(cart -> {"positions":
[{"trackId":1},{"trackId":24},{"trackId":20}]},
username -> user,
token -> 0639d0b0-e7c8-4e82-9aad-2a43044e72db,
csrfToken -> e705413843ea96a6491a0e9e800ba36a712c4f70-1506542471068-0baeef7535eb9c889fb6fed2))
我不知道为什么它在那里,我的 add2cart 操作如下所示:
private def cartAction(addToCartForm: Form[CartPosition], action: (Cart, CartPosition) => Cart)(implicit request: UserRequest[Any]) = {
addToCartForm.fold(
_ => BadRequest("Error!"),
position => {
getCart match {
case Some(cart) => Ok("Ok").withSession("cart" -> Json.toJson(action(cart, position)).toString(), "username" -> request.session.get("username").getOrElse(""), "token" -> request.session.get("token").getOrElse(""))
case _ => Ok("Ok, no").withSession("cart" -> Json.toJson(action(Cart(Seq.empty), position)).toString())
}
}
)
}
def addToCart() = guestAction { implicit request =>
cartAction(addToCartForm.bindFromRequest, addCartPos)
}
addCartPos 只是将位置添加到 json