Play Framework 2.6 CSRF 和会话

我遇到了奇怪的问题。我正在我的网站上实现购物车功能，并使用会话来存储购物车位置。我有一个 POST 操作来将新位置添加到购物车，并且我启用了 CSRF 过滤器来保护网站。我在产品页面上用ajax调用它，所以第一次调用没问题，但第二次调用说未经授权，并且在日志中有[CSRF] Check failed because no token found in headers for /cart。但确实如此。我这样称呼它：

 $("form").submit(function(e){
        e.preventDefault();
        $.ajax({
            url: '/cart',
            method: 'POST',
            data: getCartPosition(),
            beforeSend: function(xhr){xhr.setRequestHeader('Csrf-Token', $('input[name=csrfToken]').val());},
            success: function (data, textStatus) {
                alert('Added!');
            },
            error: function (error) {
                alert('Error!');
            }
        });
    });

我将 CSRF 令牌放入模板中的某处：

@CSRF.formField

并要求：

我已在配置中启用此功能

play.filters.csrf.bypassCorsTrustedOrigins=true 
play.filters.hosts {
  # Allow requests to example.com, its subdomains, and localhost:9000
  allowed = ["localhost:9000", "localhost:4200"]
}

但奇怪的是，它似乎将 csrfToken 放入会话中，因为请求失败后我有这样的会话

Session(Map(cart -> {"positions":
[{"trackId":1},{"trackId":24},{"trackId":20}]}, 
username -> user, 
token -> 0639d0b0-e7c8-4e82-9aad-2a43044e72db, 
csrfToken -> e705413843ea96a6491a0e9e800ba36a712c4f70-1506542471068-0baeef7535eb9c889fb6fed2))

我不知道为什么它在那里，我的 add2cart 操作如下所示：

private def cartAction(addToCartForm: Form[CartPosition], action: (Cart, CartPosition) => Cart)(implicit request: UserRequest[Any]) = {
    addToCartForm.fold(
      _ => BadRequest("Error!"),
      position => {
        getCart match {
          case Some(cart) => Ok("Ok").withSession("cart" -> Json.toJson(action(cart, position)).toString(), "username" -> request.session.get("username").getOrElse(""), "token" -> request.session.get("token").getOrElse(""))
          case _ => Ok("Ok, no").withSession("cart" -> Json.toJson(action(Cart(Seq.empty), position)).toString())
        }
      }
    )
  }

def addToCart() = guestAction { implicit request =>
    cartAction(addToCartForm.bindFromRequest, addCartPos)
  }

addCartPos 只是将位置添加到 json

我在 Play 2.7.3 中遇到了同样的问题。

就我而言，该表单是由 Twirl 生成的csrf token因为我使用 ajax 提交表单，所以我复制了csrf token从渲染的表单中获取并将其传递到 Play 文档中所写的 ajax 标头。

该表单可以多次提交，因此我需要更新令牌。因此我正在通过 ajax 响应 newcsrf token控制器中取自play.filters.csrf.CSRF.getToken.get.value.

但不幸的是，第二次提交失败了切断福尔敏德提及。

修复方法如下所述克努特·阿恩·韦达将新令牌添加到会话中。我是通过withSession方法。

所以控制器响应如下所示：

 Ok(Json.obj(
    "status" -> (user != None),
    "notif" -> "Success login",
    "data" -> Map( 
       "adminUrl" -> "www.something ...", 
       "csrf" -> play.filters.csrf.CSRF.getToken.get.value
    )
 )).withSession(
    "uid" -> user.getOrElse(User()).id.toString,
    "csrfToken" -> play.filters.csrf.CSRF.getToken.get.value
 )

这看起来不像是一个问题，因为 Play Framework 没有在服务器上保存会话数据，因此在 ajax 请求之后必须在客户端站点中更新令牌是合乎逻辑的。主要问题是它没有在文档中提到（在 CSRF ajax 部分），这可能很方便，因为人们根本没有按照预期的顺序从头到尾阅读文档。