Срабатывает csrf защита если функция в отдельном js-файле

@mstdmstd · Регистрация: 21.02.2010

Студворк — интернет-сервис помощи студентам

Всем привет,
В php/codeigniter/twig/JS проекте нужно передать пару переменных csrf_token_name / csrf_token_hash для выполения POST-запроса :

HTML5
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
    function save_bookmark_to_product() {
        var product_id= $("#hidden_bookmarks_to_product").val()
        var product_bookmark_info= $("#product_bookmark_info").val()
        var is_featured= $("#is_featured").is(':checked')
        var href= " base_url products/save_bookmark_to_product"
        jQuery.ajax({
            url: href,
            type: 'POST',
            data: { product_id : product_id, info : product_bookmark_info, is_featured : ( is_featured ? 'Y' : 'N' ), logged_user_id : ' LoggedUserId ',  csrf_token_name  : ' csrf_token_hash ' },
        dataType: 'json',
            success: function(result) {
            if (result.ErrorCode != 0) {
                alert( result.ErrorMessage )
            }
            if (result.ErrorCode == 0) {
                location.reload();
            }
        }
    });
 
    }

И в исходниках я вижу :

JavaScript
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
    function save_bookmark_to_product() {
        var product_id= $("#hidden_bookmarks_to_product").val()
        var product_bookmark_info= $("#product_bookmark_info").val()
        var is_featured= $("#is_featured").is(':checked')
        var href= "http://local-wprods.com/products/save_bookmark_to_product"
        jQuery.ajax({
            url: href,
            type: 'POST',
            data: { product_id : product_id, info : product_bookmark_info, is_featured : ( is_featured ? 'Y' : 'N' ), logged_user_id : '1', csrf_test_name : '41033b3370643982ad5a33cc7e630a7d' },
        dataType: 'json',
            success: function(result) {
            if (result.ErrorCode != 0) {
                alert( result.ErrorMessage )
            }
            if (result.ErrorCode == 0) {
                location.reload();
            }
        }
    });
 
    }

Код выше нормально работает.

Но я хочу вынести все функции в отдельный JS-файл и получаю ошибку.
В twig файле я определяю :

HTML5
1
2
3
4
5
6
7
8
<script type="text/javascript">
    /*<![CDATA[*/
 
    var base_url= ' base_url '
    var logged_user_id = ' LoggedUserId '
    var csrf_token_name = ' csrf_token_name '
    var csrf_token_hash= ' csrf_token_hash '
...

В отдельном file.js с ошибкой эти переменные находит:

JavaScript
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
 $(function() {
    ...
     alert( "frontend_app.jsbase_url:"+base_url + "  logged_user_id::"+logged_user_id+"  csrf_token_hash::"+csrf_token_hash)  — ВЫВОДЯТСЯ ПРАВИЛЬНЫЕ ЗНАЧЕНИЯ
    fancyBoxInit()
     if ( parseInt(logged_user_id) > 0 ) {
         getCartSummary()
     }
});
 
 
 
 function save_bookmark_to_product() {
     var product_id= $("#hidden_bookmarks_to_product").val()
     var product_bookmark_info= $("#product_bookmark_info").val()
     var is_featured= $("#is_featured").is(':checked')
     var href= " base_url products/save_bookmark_to_product"
     alert( "csrf_token_hash::"+csrf_token_hash )  // ВЫВОДИТ  csrf_token_hash::41033b3370643982ad5a33cc7e630a7d
     jQuery.ajax({
         url: href,
         type: 'POST',
         data: { product_id : product_id, info : product_bookmark_info, is_featured : ( is_featured ? 'Y' : 'N' ), logged_user_id : logged_user_id, csrf_token_name : csrf_token_hash },
     dataType: 'json',
         success: function(result) {
         if (result.ErrorCode != 0) {
             alert( result.ErrorMessage )
         }
         if (result.ErrorCode == 0) {
             location.reload();
         }
     }
 });
 
 }

Но получаю 403 ошибку

JavaScript
1
2
An Error Was Encountered
The action you have requested is not allowed.

Не понимаю почему во 2ом случае вызов из отдельного файла вызывает ошибку и в чем разница?

Так:

JavaScript
1
csrf_token_hash.toString()

Не помогает ...

Спасибо!

@Madrid · 13.01.2017, 11:38

Ну так ищите причину, почему отдало 403 ошибку.

Сравните запросы, которые уходят на сервер в обоих вариантах.

Новые блоги и статьи Все статьи Все блоги /
Изучаю kubernetes lagorue 13.01.2026 А пригодятся-ли мне знания kubernetes в России?	Сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/	WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .	Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .
Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .	Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114	Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .	Модель микоризы: классовый агентный подход 2 anaschu 06.01.2026 репозиторий https:/ / github. com/ shumilovas/ fungi ветка по-частям. коммит Create переделка под биомассу. txt вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .

@Madrid 14 / 50 / 3 Регистрация: 26.12.2009 Сообщений: 406
	13.01.2017, 11:38
	Ну так ищите причину, почему отдало 403 ошибку. Сравните запросы, которые уходят на сервер в обоих вариантах. 0