內置CSRF保護的node.js服務器，移動應用程序如何接收CSRF令牌？

Question

我正在使用node.js並表示構建一個簡單的服務器，其中CSRF正通過快速框架進行實施。

app.use(express.csrf()); 
app.use(function(req, res, next){ 
    res.locals.token = req.session._csrf; 
    res.locals.year = new Date().getFullYear(); 
    next(); 
}); 

的連接CSRF中間件自動生成req.session._csrf令牌，而這個函數映射它res.locals.token所以這將是可從EJS的模板。這適用於Web應用程序。

但是，當涉及到我的Android的移動應用程序，例如登錄，只發送用戶名和密碼沒有CSRF令牌將導致服務器拒絕請求。

如前面的代碼僅適用於網頁模板，所以我的問題是如何獲得這個令牌在支持Android應用程序

最佳RGDS 十一

Answer 1

如果是隻需要在登錄頁面保護，那麼您可以輕鬆地爲登錄頁面（它返回JSON或XML）輕鬆完成GET，然後以這種方式獲取CSRF標記。

但是，我認爲CSRF對移動設備不是問題。你可以做的是使用cookiesession中間件在會話上設置一個標誌來表明這種類型的客戶端不需要CSRF。

然後使用此回答Disable csrf validation for some requests on Express開啓或關閉CSRF，具體取決於該標誌是否存在於Cookie中。

或者，您的移動應用程序可以爲每個請求網址添加一個標記，而不是使用cookie方法表示它不需要CSRF。然而，這意味着如果黑客知道這個標誌，他們可以繞過你的CSRF保護。