如何在 Express 中生成 CSRF 令牌?
Posted
技术标签:
【中文标题】如何在 Express 中生成 CSRF 令牌?【英文标题】:How do I generate CSRF tokens in Express? 【发布时间】:2012-02-01 04:31:55 【问题描述】:新手。 我正在使用 ExpressJS/节点。这是我的配置内容:
var express = require('express'),
app = express.createServer(),
jade=require('jade');
// Configuration
app.configure(function()
app.set('views', __dirname + '/views');
app.use(express.logger());
app.use(express.cookieParser());
app.use(express.session( secret: "secretive secret" ));
app.set('view engine', 'jade');
app.use(express.bodyParser());
app.use(express.methodOverride());
app.use(require('stylus').middleware( src: __dirname + '/public' ));
app.use(app.router);
app.use(express.static(__dirname + '/public'));
app.use(express.csrf());
我在 Express 目录中找到了 csrf.js,看到它应该被生成并分配给 req.body._csrf,但我不知道如何访问它。
这是 csrf.js 代码
module.exports = function csrf(options)
var options = options ||
, value = options.value || defaultValue;
return function(req, res, next)
// generate CSRF token
var token = req.session._csrf || (req.session._csrf = utils.uid(24));
// ignore GET (for now)
if ('GET' == req.method) return next();
// determine value
var val = value(req);
// check
if (val != token) return utils.forbidden(res);
next();
;
帮助?谢谢!
【问题讨论】:
【参考方案1】:自 3.x 起,动态助手已从 Express 中删除。
新的用法是app.use(express.csrf());
,它来自Connect。
【讨论】:
【参考方案2】:将令牌添加到动态帮助器。
app.dynamicHelpers(
token: function(req, res)
return req.session._csrf;
);
在你的玉模板中引用它。
input(type='hidden', value=token)
来源:http://senchalabs.github.com/connect/middleware-csrf.html
【讨论】:
【参考方案3】:在 Express 4.x 中,此中间件已被删除。对于 Express 4.x,您可以按以下方式进行操作
var csrf = require('csurf');
app.use(csrf());
啊!!您需要在session
和cookieParser
中间件之后注册csrf
中间件。
内部路线或Ctrl
res.render('someform', csrf: req.csrfToken() );
或者你也可以像这样设置一个局部变量
app.use(function(req, res, next)
res.locals.csrf = req.csrfToken();
);
然后在视图中
input(type="hidden", name="_csrf", value="#csrf")
你完成了! :)
【讨论】:
【参考方案4】:如果您还想为您的 CSRF 令牌设置一个可以被您的前端读取的安全 cookie(例如,角度),您可以这样做:
app.use csrf()
app.use (req, res, next) ->
res.cookie('XSRF-TOKEN', req.csrfToken(), secure: true)
next()
【讨论】:
以上是关于如何在 Express 中生成 CSRF 令牌?的主要内容,如果未能解决你的问题,请参考以下文章
Zend Form - 一页中的多个表单和(CSRF)令牌验证
使用 AJAX GET 在缓存页面中生成受 CSRF 保护的表单
Node Express 和 csurf - 403(禁止)无效 csrf 令牌
在nodejs(Express)中使用CSURF的“无效的csrf令牌”。CSRF令牌适用于第一个请求,但对所有其他请求都给出错误