如何在 Express 中生成 CSRF 令牌?

Posted

技术标签:

【中文标题】如何在 Express 中生成 CSRF 令牌?【英文标题】:How do I generate CSRF tokens in Express? 【发布时间】:2012-02-01 04:31:55 【问题描述】:

新手。 我正在使用 ExpressJS/节点。这是我的配置内容:

var express = require('express'),
app = express.createServer(),
jade=require('jade');
// Configuration
app.configure(function()
app.set('views', __dirname + '/views');
app.use(express.logger());
app.use(express.cookieParser());
app.use(express.session( secret: "secretive secret" ));
app.set('view engine', 'jade');
app.use(express.bodyParser());
app.use(express.methodOverride());
app.use(require('stylus').middleware( src: __dirname + '/public' ));
app.use(app.router);
app.use(express.static(__dirname + '/public'));
app.use(express.csrf());

我在 Express 目录中找到了 csrf.js,看到它应该被生成并分配给 req.body._csrf,但我不知道如何访问它。

这是 csrf.js 代码

module.exports = function csrf(options) 
var options = options || 
, value = options.value || defaultValue;

return function(req, res, next)
// generate CSRF token
var token = req.session._csrf || (req.session._csrf = utils.uid(24));

// ignore GET (for now)
if ('GET' == req.method) return next();

// determine value
var val = value(req);

// check
if (val != token) return utils.forbidden(res);

next();

; 

帮助?谢谢!

【问题讨论】:

【参考方案1】:

自 3.x 起,动态助手已从 Express 中删除。

新的用法是app.use(express.csrf());,它来自Connect。

【讨论】:

【参考方案2】:

将令牌添加到动态帮助器。

app.dynamicHelpers(
  token: function(req, res) 
    return req.session._csrf;
  
);

在你的玉模板中引用它。

input(type='hidden', value=token)

来源:http://senchalabs.github.com/connect/middleware-csrf.html

【讨论】:

【参考方案3】:

Express 4.x 中,此中间件已被删除。对于 Express 4.x,您可以按以下方式进行操作

var csrf = require('csurf');
app.use(csrf());

啊!!您需要在sessioncookieParser 中间件之后注册csrf 中间件。

内部路线或Ctrl

res.render('someform',  csrf: req.csrfToken() );

或者你也可以像这样设置一个局部变量

app.use(function(req, res, next)
  res.locals.csrf = req.csrfToken();
);

然后在视图中

input(type="hidden", name="_csrf", value="#csrf")

你完成了! :)

【讨论】:

【参考方案4】:

如果您还想为您的 CSRF 令牌设置一个可以被您的前端读取的安全 cookie(例如,角度),您可以这样做:

app.use csrf()

app.use (req, res, next) ->
  res.cookie('XSRF-TOKEN', req.csrfToken(), secure: true)
next()

【讨论】:

以上是关于如何在 Express 中生成 CSRF 令牌?的主要内容,如果未能解决你的问题,请参考以下文章

Zend Form - 一页中的多个表单和(CSRF)令牌验证

使用 AJAX GET 在缓存页面中生成受 CSRF 保护的表单

使用 AJAX 在 Rails 上加载 CSRF 令牌

Node Express 和 csurf - 403(禁止)无效 csrf 令牌

在nodejs(Express)中使用CSURF的“无效的csrf令牌”。CSRF令牌适用于第一个请求,但对所有其他请求都给出错误

Express.js csrf 令牌与 jQuery Ajax