我正在使用Node.js作爲服務器端和Angular 2作爲前端的示例應用程序。Node JS/Angular 2應用程序,ForbiddenError:無效的csrf標記
爲了防止CSRF攻擊,我曾用 「csurf」 中間件 下面是相關的代碼來設置中間件
// cookie parser
app.use(cookieParser());
// express session middleware , this should be after cookie parser
app.use(session({secret:'clickclick'}));
app.use(session({
secret: 'clickclick',
cookie: {
path:'/',
httpOnly:true,
maxAge:null
}
}));
// CSRF middleware
app.use(csurf());
下面node.js的路線集 「_csrf」 頭
router.get('/:id/products/:pid' , wrap(function *(req , res , next) {
try
{
console.log('url' , req.url);
res.setHeader('_csrf', req.csrfToken());
let product = yield category.getProduct(req , res , next);
res.send(product);
}
catch(err)
{
res.status(500).send(err);
}
}))
上面提到的路線'/:id/products /:pid'從我的下面的Angular 2服務方法調用
// Get Product
GetProduct(id:string, pid:string):Observable<Product> {
return this.http.get('./categories/' + id + '/products/' + pid)
.map(data =>{ let headers:Headers = data.headers;
this.csrfToken = headers.get('_csrf') ;
return data.json() })
.catch(this.handleError);
}
此方法將從服務器返回的_csrf標頭分配給「this.csrfToken」屬性。
當下面的服務方法發出AJAX POST請求時,它使用上述方法設置的「this.csrfToken」屬性值並設置標頭「_csrf」的值。
// Add an item to cart
AddTocart(product:Product)
{
let item = { pid:product._id , name:product.name , price:product.price , qty:1 , total:product.price };
//this.cart.push(item);
// make an AJAX call to save the item in server session
let url = './cart/add';
let headers = new Headers({'Content-Type':'application/json' , '_csrf':this.csrfToken});
let requestOptions = new RequestOptions({headers:headers});
this.http.post(url , item , requestOptions)
.map(data => {
this.cart.push(item);
}
)
.catch(this.handleError)
.subscribe(data => { });
}
以下是GetProduct服務方法的Response Header。
下面是「AddTocart」服務方法的請求頭。
任何想法是什麼原因造成 「ForbiddenError:無效CSRF令牌」 的錯誤。 如果我需要提供更多信息或者提供的信息不明確,請讓我知道。