在NodeJS中使用CSRF
Using CSRF in NodeJS
我正在尝试在NodeJS应用程序中使用csrf。您可以看到下面的代码。当我运行此代码时,我会收到"TypeError:req.csrfToken不是函数"错误。
我想为所有请求创建csrf令牌,并想在ajax调用中检查csrf令牌。正如我所说,我不能创建csrf令牌,我得到了错误。此外,我如何在ajax调用中检查csrf令牌?
你能帮我吗?
感谢
服务器端:
var express = require('express');
var cookieParser = require('cookie-parser');
var session = require('express-session');
var csrf = require('csurf');
var bodyParser = require('body-parser');
/*this line commented*/
//var csrfProtection = csrf({ cookie: false });
var app = express();
// view engine setup
app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'jade');
var parseForm = bodyParser.urlencoded({ extended: false });
app.use(cookieParser());
/*this line added*/
app.use(csrf({ cookie: false }));
app.use(session({
genid: function (req) {
return "lkgktktgjknvfndkj-dfgjnkdfkjgn-dfgdfg";
},
name: "mySecret",
resave: false, // don't save session if unmodified
saveUninitialized: false, // don't create session until something stored
secret: 'thisIsASecret'
}));
app.use(express.static(path.join(__dirname, 'public')));
app.use(function (req, res, next) {
res.locals.csrfToken = req.csrfToken();
next();
});
app.get('/', /*csrfProtection,*/ function (req, res) {
res.render('index')
});
app.post('/process', parseForm, /*csrfProtection,*/ function (req, res) {
res.send('data is being processed')
});
Index.jade
meta(name="csrf-token", content="#{csrfToken}")
block content
input(type="hidden" name="_csrf" value="#{csrfToken}")
|Favorite color: <input type="text" name="favoriteColor">
button(type="submit" id="sbmt") Submit
script(src= "/javascripts/jquery-2.2.1.js")
script.
$.ajaxPrefilter(function(options, originalOptions, jqXHR) {
var token;
if (!options.crossDomain) {
token = $('meta[name="csrf-token"]').attr('content');
if (token) {
return jqXHR.setRequestHeader('X-CSRF-Token', token);
}
}
});
$("#sbmt").click(function (e) {
e.preventDefault();
$.post(
"/process",
{
//text: text,
_csrf : $('meta[name="csrf-token"]').attr('content')
}, function (data) {
console.log(data);
});
});
您必须添加:
app.use(session({ ... });
// Add this after session
app.use(csrfProtection);
您需要在会话后添加此项,如下所述:
如果您将"cookie"选项设置为非false值,则必须在此模块之前使用cookie解析器。否则,必须使用会话中间件在此模块之前。例如:快速会话cookie会话
调用csrf()
返回一个函数(源)。你需要use
才能拥有它。你在教程中错过的是:
var csrfProtection = csrf({ cookie: true })
app.get('/form', csrfProtection, function(req, res) {
// pass the csrfToken to the view
res.render('send', { csrfToken: req.csrfToken() })
})
这里,实际上正在调用csrfProtection
,它将csrfToken
方法添加到req
中。在另一个例子中有:
app.use(csrf({ cookie: true }))
这意味着所有路线都将使用该保护,因此没有该保护就无法投递邮件。
这取决于您的使用情况——如果您想保护所有路由——请全局使用它(app.use
),否则按请求使用它(如第一个示例中所示)。
如果你尝试在索引路由中使用它,你就会得到它,因为你已经将它用作中间件:
app.get('/', csrfProtection, function (req, res) {
res.render('index')
});
相关文章:
- nodejs-expressjs上传图像并显示它们
- TypeError:在不兼容的接收器nodejs上调用了方法Uint8Array.length
- NodeJS-readline暂停和恢复事件发射器(逐行读取)
- NodeJS日期格式不起作用
- Django: AJAX + CSRF POST gives 403
- Nested Q.all nodejs
- Nodejs API控制器,用于在API之间切换
- 否'访问控制允许来源'标头存在于IISNOde中请求的资源(AngularJS+NodeJs)上
- 如何在大型nodeJS代码的基础上逐步引入typescript
- 在Nodejs中Express输入DEBUG=app时权限被拒绝/bin
- 无法使用nodeJS在html中设置Image src
- 与域在同一台计算机上运行的NODEJS服务器的CORS错误
- NodeJS API调用中Array中的Push和Pull元素
- 基于api密钥的NodeJS web服务
- 在gump和nodejs中使用Typescript时,未定义对require和exports的引用
- “util.inherits”和在NodeJS中扩展原型之间的区别
- 将一个方法转换为promise:Nodejs
- nodejs中匿名函数的使用
- Node和Nodejs版本不同
- 在NodeJS中使用CSRF