如何使用CSRF測試快速表單發佈？

Question

我想爲我的服務器端表單驗證寫一個測試，但我不斷收到Forbidden錯誤。看來這需要分兩步進行。步驟1，從表單中獲取CSRF值。第2步，使用CSRF值發佈到表單處理程序。然而，無論我如何發佈，我都會得到一個禁止的錯誤。

--full測試：https://github.com/socketwiz/swblog/blob/master/test/contact.js#L57-L100

我試圖改變正是如此下面一行： https://github.com/socketwiz/swblog/blob/master/test/contact.js#L85

.send({name: 'foo', 'X-CSRF-Token': token}) 

.set('X-CSRF-Token', token) 

.set('Cookie', ['X-CSRF-Token=' + token]) 

但沒有我嘗試將似乎滿足CSRF要求。我越嘗試越複雜，這似乎是一件簡單的事情。也許我正在談論這一切都是錯誤的。有任何想法嗎？

Answer 1

謝謝@shawnzhu，你對cookies的評論幫助我弄清楚我需要做什麼。我有一個想法，我過於複雜了。以下是我想出了：

https://github.com/socketwiz/swblog/blob/master/test/contact.js

it('should not post just a name', function(done) { 
    request(mock) 
     .get('/contact') 
     .end(function(err, res){ 
     var $html = jQuery(res.text); 
     var csrf = $html.find('input[name=_csrf]').val(); 

     request(mock) 
      .post('/api/contact.json') 
      .set('cookie', res.headers['set-cookie']) 
      .send({ 
      _csrf: csrf, 
      name: 'Mary Jane' 
      }) 
      .expect(function(res){ 
      assert.equal(undefined, res.body.name); 
      assert.equal('You must provide a valid email address', res.body.email); 
      assert.equal('You must provide a message', res.body.message); 
      }) 
      .expect(500, done); 
     }); 
}); 

Answer 2

Express csrf中間件保存會話中的密鑰以驗證csrf令牌，而我猜你使用cookieSession中間件作爲會話存儲。因此，當使用csrf令牌發送數據時，您需要重新發送會話cookie，express可以使用會話中的密碼來驗證您的csrf令牌。