ruby-on-rails – CSRF令牌与会话中的内容不匹配(Rails 4.1)

请注意,大多数错误报告工具(如Honeybadger)会自动禁止ActionController :: InvalidAuthenticityToken,因此您通常不会在错误报告工具中看到此问题,除非您不遗余力地查看它.

这是问题,这不是一个发展问题 – 这是一个尚未被诊断出来的生产问题.

我们看到的例外是在我们网站正常登录时的ActionController :: InvalidAuthenticityToken.仔细检查表单发送的authenticity_token和会话的_csrf_token(我们使用active_record_store作为我们的session_store设置),它们只是不匹配.经过直接检查,我可以断定它们是完全不同的代币,但我不知道为什么.

这不是一个简单的新手开发人员问题,请不要回答有关如何将CSRF令牌从客户端传递到服务器或如何在我的控制器上跳过伪造保护的基本答案.我不感兴趣听到任何一个有这两个答案的人：你不知道你在说什么,你不明白问题的深度和复杂性.我只对收听流量较高的网站的人有兴趣,他们可以确认这种情况发生在非无关紧要的访问者身上(奇怪的是,似乎比其他浏览器更频繁地影响某些浏览器.)

我们广泛地看到这个问题,可能约占我们高流量网站的1-2％.我只在生产中看到它,我无法在开发中重现它.

我在IE 11和Edge浏览器上看到的最多(你会注意到Rails 4.1在IE 11和Edge之前发布),但也在Android上的Chrome上,偶尔也在移动Safari上.

我们的Cache-control标头设置如下：

Cache-Control：max-age = 0,private,must-revalidate