5
Q
csrf令牌使用
A
回答
9
由于您使用的快车,你可以使用它的CSRF中间件(通过连接):http://www.senchalabs.org/connect/csrf.html
您可以检出这里的评论来源:https://github.com/senchalabs/connect/blob/master/lib/middleware/csrf.js
所有你需要做的是包含该中间件,然后在你的POST表单中(或者PUT等,无论发生什么变化的请求)设置变量_csrf的值为req.session._csrf。
入住这里的例子:https://github.com/senchalabs/connect/blob/master/examples/csrf.js
UPDATE
由于连接2.9.0必须使用req.csrfToken()代替req.session._csrf
完整的示例:https://github.com/senchalabs/connect/blob/master/examples/csrf.js
提交:https://github.com/senchalabs/connect/commit/70973b24eb1abe13b2da4f45c1edbb78c611d250
UPDATE2
的连接中间件被分成不同的模块(以及相关的回购),你可以找到他们的所有(包括CSRF的)位置:https://github.com/senchalabs/connect#middleware
3
从我的角度来看,你应该使用提交表单时隐藏字段中的csrf POST参数。这是唯一的出路。
但是对于AJAX请求,我强烈建议您使用X-CSRF-Token头。主要是因为,如果正确完成,它将为您节省记住为每个POST请求添加令牌的麻烦。或者,当使用jQuery Form等库时,在提交时添加额外的POST参数可能会变得骇人听闻。
例如,如果您将jQuery用于您的AJAX请求,它将为您提供a hook,您可以使用它在设置请求之前自动并透明地设置X-CSRF-Token。因此,非常少的客户端代码修改是必需的。而且你的代码的迷人性让你大开眼界。
-
示例实现,这是我成功的使用几乎所有我的项目的基础上,Django的一个,应该是:
jQuery(document).ajaxSend(function(event, xhr, settings) {
function getCookie(name) {
var cookieValue = null;
if (document.cookie && document.cookie != '') {
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++) {
var cookie = jQuery.trim(cookies[i]);
// Does this cookie string begin with the name we want?
if (cookie.substring(0, name.length + 1) == (name + '=')) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
function sameOrigin(url) {
// url could be relative or scheme relative or absolute
var host = document.location.host; // host + port
var protocol = document.location.protocol;
var sr_origin = '//' + host;
var origin = protocol + sr_origin;
// Allow absolute or scheme relative URLs to same origin
return (url == origin || url.slice(0, origin.length + 1) == origin + '/') ||
(url == sr_origin || url.slice(0, sr_origin.length + 1) == sr_origin + '/') ||
// or any other URL that isn't scheme relative or absolute i.e relative.
!(/^(\/\/|http:|https:).*/.test(url));
}
function safeMethod(method) {
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
if (!safeMethod(settings.type) && sameOrigin(settings.url)) {
xhr.setRequestHeader("X-CSRFToken", getCookie('csrf.token'));
}
});
在服务器端,你只需需要设置一个包含CSRF令牌的cookie,这样客户端很容易获得令牌。我更换了app.use(express.csrf())有:
app.use((function(options) {
var csrf = express.csrf(options);
return function(req, res, next) {
function onCsrfCalled() {
var token = req.session._csrf;
var cookie = req.cookies['csrf.token'];
// Define a cookie if not present
if(token && cookie !== token) {
res.cookie('csrf.token', token);
}
// Define vary header
res.header('Vary', 'Cookie');
next();
}
csrf(req, res, onCsrfCalled);
}
})());
相关问题
- 1. CSRF令牌使用SPA
- 2. Django csrf令牌使用
- 3. httplib - CSRF令牌
- 4. 笨,CSRF令牌
- 5. csrf令牌dajaxice
- 6. CSRF令牌生成
- 7. Laravel behat CSRF令牌
- 8. 避免CSRF令牌
- 9. 了解CSRF令牌
- 10. csrf令牌跟进
- 11. Flask-Security CSRF令牌
- 12. CSRF同步令牌
- 13. Django的CSRF令牌
- 14. CSRF令牌验证
- 15. 变化CSRF令牌
- 16. CSRF令牌不起作用?
- 17. 如何使用csrf令牌asp c#?
- 18. 在链接上使用CSRF令牌
- 19. 使用cookie的CSRF令牌保护
- 20. 如何正确使用Django CSRF令牌?
- 21. 使用CURL php和CSRF令牌登录
- 22. 使用Ajax的无效CSRF令牌
- 23. laravel 5.3 api只能使用csrf令牌
- 24. CSRF 403禁止 - 无效的CSRF令牌
- 25. 传递一个CSRF令牌
- 26. Symfony2 CSRF令牌无效
- 27. 为window.location.href添加CSRF令牌
- 28. Braintree CSRF令牌丢失
- 29. laravel CSRF令牌与枝条
- 30. 的CSRF令牌无效
是的,我知道这一点,但我想知道什么是更好的使用:头X-CSRF令牌或隐藏字段? – Erik
正如你所看到的:https://github.com/senchalabs/connect/blob/master/lib/middleware/csrf。js#L69 Express首先检查POST值,然后检查查询字符串值,然后检查x-csrf-token头,所以最好的办法是传递一个带有值的隐藏_csrf字段。 – alessioalex
我想在ajax请求上使用csrf-token我应该使用什么方法呢? – Erik