Error 403 envio post a controlador

wolfmoon · #1 (**permalink**) 31/07/2015, 10:02

Hola,

estoy usando la versión 3 de este framework y me encuentro con un problema. Tengo unos registros con la opción de ir eliminandolos uno a uno.

Envio el id a través del metodo post al controlador pero me sucede una cosa. El primer registro que elimino se borra perfectamente, a partir de ahi los siguientes me arrojan un error 403.

En el controlador simplemente recojo la variable y la envio al modelo.

En el script:

Código Javascript:

Ver original$.post('url', { id: id }, function( response ) {
console.log(response);
}, 'json' );

A que puede ser debido?

chivacker · #2 (**permalink**) 01/08/2015, 11:18

Hola,

Eso se debe a que tienes activado el CSRF de seguridad entonces al enviar un formulario por POST a otra página deberías usar el helper de formularios de codeigniter en el que automáticamente te da un token de seguridad para acceder. Este Token tienes que recargarlo en cada petición de Ajax.

Creo que me explico, si tienes alguna duda avísame.

Un abrazo

wolfmoon · #3 (**permalink**) 03/08/2015, 11:16

Hola, gracias por la respuesta.

Había leido sobre el token de seguridad, y si que probe el siguiente codigo y no me funciono:

Código Javascript:

Ver original<!-- head -->
<script type="text/javascript">
    var csrf_value = '<?php echo $this->security->get_csrf_hash(); ?>';
</script>
 
<!-- Update AJAX code, change csrf_test_name as needed -->
<script type="text/javascript">
$.post( ajax_url, { data: 'value', 'csrf_test_name': csrf_value }, function( response ) {
    // response
}, 'json' );
</script>

Pero si la petición es ajax y la página no se recarga entiendo que el token siempre sera el mismo no?

man0l0 · #4 (**permalink**) 05/08/2015, 17:13

El csrf se generá en cada petición, hay una larga discusión en los foros en inglés en relación a esto, algunos optan en no usar csrf, otros en desactivarlo para peticiones ajax, y otros en ingeniárselas para generar y obtener el csrf en cada petición.

En mi caso, me ha traído sólo dolores de cabeza, y con el dolor de mi corazón (y de mi seguridad) lo desactivo por defecto.

Slds!

chivacker · #5 (**permalink**) 18/08/2015, 18:42

Hola,

El problema es que la solución no es esa, el código de CSRF como ha dicho manOl0 se genera tras cada petición al servidor a través de POST. Lo que deberías hacer es en el controlador donde vaya la petición axaj (el de ajax_url) devolver mediante un echo lo siguiente:

Código PHP:

Ver originalecho json_encode(array(
'csrf' => $this->security->get_csrf_hash()
));

Y mediante el ajax en success o en la función de respuesta cambiar el valor del input hidden de seguridad oculto en el formulario por el nuevo.

Creo que se me entiende, si no, avísame y te pongo un ejemplo "entero".

Un abrazo