Problema: Errore di rilevamento CSRF durante l'accesso OAuth2 usando il plugin oauth2-basic

Ly_Chen · 18 Ottobre 2024, 10:05am

Ciao,

Ho riscontrato un errore “csrf_detected” durante l’utilizzo del plugin oauth2-basic per accedere tramite OAuth2. Di seguito è riportato il flusso dettagliato del problema:

Faccio clic su “Login”, che mi reindirizza a:
https://myforum/auth/basic_oauth2
Esegue quindi un reindirizzamento 302 a:
https://myforum/auth/failure?message=csrf_detected

Passaggi per la riproduzione:

Quando tento di accedere, il seguente comando curl simula la richiesta:

curl -vvvv 'https://myforum/auth/oauth2_basic' \
  -H 'accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7' \
  -H 'accept-language: zh-CN,zh;q=0.9' \
  -H 'cache-control: max-age=0' \
  -H 'content-type: application/x-www-form-urlencoded' \
  -H 'cookie: _forum_session=k9aHXc2cWsx%2FMBL26KTV33PSo8jC9Am47UBoT5Zq9qYAm2nKoU2BJkAR1bgc6U%2BYqsL3%2F3sjiYRmJoNr3JuvzkjdYl%2FjzT9djkq%2BYjSmN16EUEdZIdOl%2Fiv1MohQkthKSnOpUdXLTxHZBezxTg4O%2Bs6LUZ7HzCjpT3lxm24FS4xOPkU5QnSHBM%2F7GazZRhGywXsHKGdJ6fY0kVo%2BJHNNHBZu--qQKGn36Xh7jvKPEs--I1b3oz4nv2xe%2Fmi0bKPLog%3D%3D' \
  -H 'origin: https://myforum' \
  -H 'user-agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.0.0 Safari/537.36' \
  --data-raw 'authenticity_token=doSNHEhj23HibAEZf0znqzevPNPq9Bub69Xnq18mKARw8GiGP-cokbg7k0qUvRgH3kayeJK7_-boeoOvX6GKqQ'

Il risultato è un reindirizzamento 302 alla pagina di errore con il messaggio “csrf_detected”:

< HTTP/2 302
< location: /auth/failure?message=csrf_detected

Risultati:

Se ometto il parametro authenticity_token, il flusso di accesso funziona correttamente e mi reindirizza alla pagina di accesso OAuth2 come previsto:

Domanda:

Sembra che quando la richiesta GET a /auth/oauth2_basic include un authenticity_token, il sistema lo controlli e generi l’errore CSRF se il token non è valido. Ma sono confuso: dato che non ho ancora effettuato l’accesso, come potrei avere un authenticity_token in questa fase?

Questo è il comportamento previsto o c’è un problema con la gestione del token CSRF nel processo di accesso iniziale?

Qualsiasi aiuto o guida sarebbe apprezzato!

Grazie!

supermathie · 18 Ottobre 2024, 8:51pm

Vediamo frequentemente questo errore quando c’è una discrepanza tra ciò che il browser sta utilizzando e ciò che il backend si aspetta.

Puoi provare ad attivare force_https e vedere se questo risolve il problema?

In caso contrario, qual è il tuo percorso di richiesta?

Argomento		Risposte	Visualizzazioni
OAuth2 Authentication Failure: CSRF Detected Error SSO oauth2	0	90	Aprile 29, 2025
OAuth account creation fails due to CSRF detection immediately after logging into Auth0 on same browser SSO oauth2	8	2594	Febbraio 16, 2023
Help with OAuth2 Basic plugin Support	2	348	Settembre 9, 2022
(google_oauth2) Authentication failure! csrf_detected: OmniAuth::Strategies::OAuth2::CallbackError, csrf_detected \| CSRF detected Support	2	119	Febbraio 18, 2025
Making SSO via OAuth2 Basic plugin work with our Identity Provider SSO oauth2	2	4355	Ottobre 19, 2020

Problema: Errore di rilevamento CSRF durante l'accesso OAuth2 usando il plugin oauth2-basic

Passaggi per la riproduzione:

Risultati:

Domanda:

Argomenti correlati