Railsのエラー『ActionController::InvalidAuthenticityToken』の解決方法

作成日 2025.03.21
rails
Rails

Railsでフォームを送信する際に、『ActionController::InvalidAuthenticityToken』というエラーが発生することがあります。このエラーは、CSRF（Cross-Site Request Forgery）保護のためのトークンが無効または欠落している場合に発生します。本記事では、このエラーの原因と解決方法について詳しく説明します。

1. エラーの発生条件
2. エラーの具体例
3. エラーの解決方法
4. CSRFトークンを追加する
5. JavaScriptを有効にする
6. セッションを確認する
7. 例外処理を使用する
8. ログを記録する
9. CSRF保護を無効にする
10. まとめ

エラーの発生条件

『ActionController::InvalidAuthenticityToken』エラーは、主に以下のような状況で発生します。

フォームにCSRFトークンが含まれていない場合。
CSRFトークンが無効な場合。
JavaScriptが無効になっている場合。
セッションがタイムアウトした場合。

エラーの具体例

以下のコードは、CSRFトークンが含まれていないフォームを送信した場合にエラーが発生する例です。

# app/views/posts/new.html.erb
<%= form_with model: @post do |form| %>
  <%= form.text_field :title %>
  <%= form.submit %>
<% end %>

このコードを実行すると、『ActionController::InvalidAuthenticityToken』というエラーが発生します。

エラーの解決方法

このエラーを解決するには、次の方法があります。

CSRFトークンを追加する

フォームにCSRFトークンを追加します。

# app/views/posts/new.html.erb
<%= form_with model: @post do |form| %>
  <%= form.text_field :title %>
  <%= form.submit %>
<% end %>

JavaScriptを有効にする

ブラウザのJavaScriptを有効にします。

# ブラウザの設定でJavaScriptを有効にする

セッションを確認する

セッションがタイムアウトしていないかどうかを確認します。

# config/application.rb
config.session_store :cookie_store, key: '_your_app_session', expire_after: 1.hour

例外処理を使用する

例外処理を使用して、`ActionController::InvalidAuthenticityToken`を捕捉し、適切に対処します。

# app/controllers/application_controller.rb
class ApplicationController < ActionController::Base
  rescue_from ActionController::InvalidAuthenticityToken, with: :handle_invalid_authenticity_token

  private

  def handle_invalid_authenticity_token
    redirect_to root_path, alert: "セッションが切れました。再度ログインしてください。"
  end
end

ログを記録する

エラーが発生した際に、ログを記録して後で分析できるようにします。

require 'logger'

logger = Logger.new("csrf_errors.log")

begin
  # フォーム送信処理
rescue ActionController::InvalidAuthenticityToken => e
  logger.error("InvalidAuthenticityToken: #{e.message}")
end

CSRF保護を無効にする

一時的にCSRF保護を無効にして、問題を特定します。

# app/controllers/application_controller.rb
class ApplicationController < ActionController::Base
  protect_from_forgery with: :null_session
end

まとめ

『ActionController::InvalidAuthenticityToken』エラーは、CSRF保護のためのトークンが無効または欠落している場合に発生します。このエラーを解決するには、CSRFトークンを追加する、JavaScriptを有効にする、セッションを確認するなどの方法があります。フォームを送信する際には、これらの方法を活用してエラーを回避することが重要です。