ForbiddenError: 无效的 csrf 令牌,表达 js
Posted
技术标签:
【中文标题】ForbiddenError: 无效的 csrf 令牌,表达 js【英文标题】:ForbiddenError: invalid csrf token, express js 【发布时间】:2015-10-31 20:19:17 【问题描述】:我试图让 csurf 工作,但似乎偶然发现了一些东西。到目前为止的代码如下所示:
index.ejs
<form method="post" action="/">
<input type="hidden" name="_csrf" value="csrfToken">
.
.
</form>
您在表单中插入密码和用户名的位置。
app.js
var express = require('express');
var helmet = require('helmet');
var csrf = require('csurf');
var path = require('path');
var favicon = require('serve-favicon');
var flash = require('connect-flash');
var logger = require('morgan');
var cookieParser = require('cookie-parser');
var bodyParser = require('body-parser');
var session = require('express-session');
var routes = require('./routes/index');
var users = require('./routes/users');
var profile = require('./routes/profile');
var app = express();
// view engine setup
app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'ejs');
// uncomment after placing your favicon in /public
//app.use(favicon(path.join(__dirname, 'public', 'favicon.ico')));
app.use(logger('dev'));
//Security shyts
app.use(helmet());
app.use(helmet.xssFilter( setOnOldIE: true ));
app.use(helmet.frameguard('deny'));
app.use(helmet.hsts(maxAge: 7776000000, includeSubdomains: true));
app.use(helmet.hidePoweredBy());
app.use(helmet.ieNoOpen());
app.use(helmet.noSniff());
app.use(helmet.noCache());
// rest of USE
app.use(logger('dev'));
app.use(bodyParser.json());
app.use(bodyParser.urlencoded( extended: false ));
app.use(cookieParser());
app.use(session(secret: 'anystringoftext', saveUninitialized: true, resave: true, httpOnly: true, secure: true));
app.use(csrf()); // Security, has to be after cookie and session.
app.use(flash());
app.use(express.static(path.join(__dirname, 'public')));
app.use('/', routes);
app.use('/users', users);
app.use('/profile', profile);
// catch 404 and forward to error handler
app.use(function (req, res, next)
res.cookie('XSRF-TOKEN', req.csrfToken());
res.locals.csrftoken = req.csrfToken();
next();
)
//app.use(function(req, res, next)
// var err = new Error('Not Found');
// err.status = 404;
// next(err);
//);
// error handlers
// development error handler
// will print stacktrace
if (app.get('env') === 'development')
app.use(function(err, req, res, next)
res.status(err.status || 500);
res.render('error',
message: err.message,
error: err
);
);
// production error handler
// no stacktraces leaked to user
app.use(function(err, req, res, next)
res.status(err.status || 500);
res.render('error',
message: err.message,
error:
);
);
module.exports = app;
我在会话和 cookie 解析器之后放置了 csrf。
index.js
/* GET home page. */
router.get('/', function(req, res, next)
res.render('index', title: 'some title',message: '' );
);
router.post('/',function(req,res)
// Where I have a bunch of mysql queries to check passwords and usernames where as if they succeed they get:
res.redirect('profile');
// Else:
res.redirect('/');
);
提交表单后得到的结果,无论我是否输入正确的用户名和密码,我仍然会收到相同的错误:
invalid csrf token
403
ForbiddenError: invalid csrf token
另外我想补充一点,我已经使用 node 大约 2 周了,所以我可能还有很多东西需要学习。
【问题讨论】:
你的路由是在 csurf 中间件之前还是之后设置的?如果您显示完整的代码会有所帮助... 猜猜我可以打印出整个 app.js 部分。完成! 愚蠢的问题,但您肯定将令牌绑定到表单?在您的示例中,我没有看到任何地方发生这种情况。 【参考方案1】:csrfToken 不是 EJS 构造,因此它根本没有扩展,可能会按字面意思发送到您的服务器。
这应该会更好:
<input type="hidden" name="_csrf" value="<%= csrfToken %>">
不过,中间件设置csrftoken,使用小写“t”,模板需要大写“T”:
res.locals.csrftoken = req.csrfToken(); // change to `res.locals.csrfToken`
您还生成了两个不同的令牌,这可能不是您想要的。将令牌存储在变量中并重复使用:
app.use(function (req, res, next)
var token = req.csrfToken();
res.cookie('XSRF-TOKEN', token);
res.locals.csrfToken = token;
next();
);
最后,您可能必须将中间件移至路由声明之前,否则将不会被调用:
app.use(function (req, res, next)
var token = req.csrfToken();
res.cookie('XSRF-TOKEN', token);
res.locals.csrfToken = token;
next();
);
app.use('/', routes);
app.use('/users', users);
app.use('/profile', profile);
【讨论】:
我会努力回报的! 没有错误,一切正常!我将继续阅读有关令牌如何传递等的更多细节。然而我比你低头! 为什么说他生成了两次token?他创建了一个,并分配了两次 var token = req.csrfToken(); res.cookie('XSRF-TOKEN', 令牌); res.locals.csrfToken = 令牌; @AndreaScarafoni 如果您查看原始问题中的代码,您会发现它调用了两次req.csrfToken()。我发布的代码(您所指的)是该问题的可能解决方案。
@AndreaScarafoni 不用担心:D 我编辑了我的答案,因为我不是很清楚我的意思是代码是解决问题的方法。【参考方案2】:
我的 Express 版本是 6.14.4。最重要的是你必须保持线路的秩序。 应用.js
var cookieParser = require('cookie-parser');
var csrf = require('csurf');
var bodyParser = require('body-parser');
//order of bellow lins is very important
app.use(bodyParser.urlencoded( extended: false ))
app.use(cookieParser())
app.use(csrf( cookie: true ))
路由/index.js
var express = require('express');
var router = express.Router();
router.get('/user/signup', function(req, res, next)
console.log("csruf: "+req.csrfToken());
res.render('user/signup', csrfToken: req.csrfToken() );
);
router.post('/postuser', function(req, res, next)
//res.render('/');
res.redirect('/');
);
查看文件
<form action="/postuser" method="POST">
<div class="form-group">
<label for="email"> E-Mail</label>
<input type="text" id="email" name="email" class="form-control">
</div>
<div class="form-group">
<label for="password">Password</label>
<input type="password" id="password" name="password" class="form-control">
</div>
<input type="hidden" name="_csrf" value="csrfToken">
<button type="submit" class="btn btn-primary">Sign Up</button>
</form>
【讨论】:
以上是关于ForbiddenError: 无效的 csrf 令牌,表达 js的主要内容,如果未能解决你的问题,请参考以下文章
nodejs.ForbiddenError: invalid csrf token解决方案
ForbiddenError: invalid csrf token, express js.
没有 csrf 或无效 csrf 的 mockmvc 发布请求没有失败