5
Q
csrf令牌使用
A
回答
9
由於您使用的快車,你可以使用它的CSRF中間件(通過連接):http://www.senchalabs.org/connect/csrf.html
您可以檢出這裏的評論來源:https://github.com/senchalabs/connect/blob/master/lib/middleware/csrf.js
所有你需要做的是包含該中間件,然後在你的POST表單中(或者PUT等,無論發生什麼變化的請求)設置變量_csrf的值爲req.session._csrf。
入住這裏的例子:https://github.com/senchalabs/connect/blob/master/examples/csrf.js
UPDATE
由於連接2.9.0必須使用req.csrfToken()代替req.session._csrf
完整的示例:https://github.com/senchalabs/connect/blob/master/examples/csrf.js
提交:https://github.com/senchalabs/connect/commit/70973b24eb1abe13b2da4f45c1edbb78c611d250
UPDATE2
的連接中間件被分成不同的模塊(以及相關的回購),你可以找到他們的所有(包括CSRF的)位置:https://github.com/senchalabs/connect#middleware
3
從我的角度來看,你應該使用提交表單時隱藏字段中的csrf POST參數。這是唯一的出路。
但是對於AJAX請求,我強烈建議您使用X-CSRF-Token頭。主要是因爲,如果正確完成,它將爲您節省記住爲每個POST請求添加令牌的麻煩。或者,當使用jQuery Form等庫時,在提交時添加額外的POST參數可能會變得駭人聽聞。
例如,如果您將jQuery用於您的AJAX請求,它將爲您提供a hook,您可以使用它在設置請求之前自動並透明地設置X-CSRF-Token。因此,非常少的客戶端代碼修改是必需的。而且你的代碼的迷人性讓你大開眼界。
-
示例實現,這是我成功的使用幾乎所有我的項目的基礎上,Django的一個,應該是:
jQuery(document).ajaxSend(function(event, xhr, settings) {
function getCookie(name) {
var cookieValue = null;
if (document.cookie && document.cookie != '') {
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++) {
var cookie = jQuery.trim(cookies[i]);
// Does this cookie string begin with the name we want?
if (cookie.substring(0, name.length + 1) == (name + '=')) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
function sameOrigin(url) {
// url could be relative or scheme relative or absolute
var host = document.location.host; // host + port
var protocol = document.location.protocol;
var sr_origin = '//' + host;
var origin = protocol + sr_origin;
// Allow absolute or scheme relative URLs to same origin
return (url == origin || url.slice(0, origin.length + 1) == origin + '/') ||
(url == sr_origin || url.slice(0, sr_origin.length + 1) == sr_origin + '/') ||
// or any other URL that isn't scheme relative or absolute i.e relative.
!(/^(\/\/|http:|https:).*/.test(url));
}
function safeMethod(method) {
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
if (!safeMethod(settings.type) && sameOrigin(settings.url)) {
xhr.setRequestHeader("X-CSRFToken", getCookie('csrf.token'));
}
});
在服務器端,你只需需要設置一個包含CSRF令牌的cookie,這樣客戶端很容易獲得令牌。我更換了app.use(express.csrf())有:
app.use((function(options) {
var csrf = express.csrf(options);
return function(req, res, next) {
function onCsrfCalled() {
var token = req.session._csrf;
var cookie = req.cookies['csrf.token'];
// Define a cookie if not present
if(token && cookie !== token) {
res.cookie('csrf.token', token);
}
// Define vary header
res.header('Vary', 'Cookie');
next();
}
csrf(req, res, onCsrfCalled);
}
})());
相關問題
- 1. CSRF令牌使用SPA
- 2. Django csrf令牌使用
- 3. httplib - CSRF令牌
- 4. 笨,CSRF令牌
- 5. csrf令牌dajaxice
- 6. CSRF令牌生成
- 7. Laravel behat CSRF令牌
- 8. 避免CSRF令牌
- 9. 瞭解CSRF令牌
- 10. csrf令牌跟進
- 11. Flask-Security CSRF令牌
- 12. CSRF同步令牌
- 13. Django的CSRF令牌
- 14. CSRF令牌驗證
- 15. 變化CSRF令牌
- 16. CSRF令牌不起作用?
- 17. 如何使用csrf令牌asp c#?
- 18. 在鏈接上使用CSRF令牌
- 19. 使用cookie的CSRF令牌保護
- 20. 如何正確使用Django CSRF令牌?
- 21. 使用CURL php和CSRF令牌登錄
- 22. 使用Ajax的無效CSRF令牌
- 23. laravel 5.3 api只能使用csrf令牌
- 24. CSRF 403禁止 - 無效的CSRF令牌
- 25. 傳遞一個CSRF令牌
- 26. Symfony2 CSRF令牌無效
- 27. 爲window.location.href添加CSRF令牌
- 28. Braintree CSRF令牌丟失
- 29. laravel CSRF令牌與枝條
- 30. 的CSRF令牌無效
是的,我知道這一點,但我想知道什麼是更好的使用:頭X-CSRF令牌或隱藏字段? – Erik
正如你所看到的:https://github.com/senchalabs/connect/blob/master/lib/middleware/csrf。js#L69 Express首先檢查POST值,然後檢查查詢字符串值,然後檢查x-csrf-token頭,所以最好的辦法是傳遞一個帶有值的隱藏_csrf字段。 – alessioalex
我想在ajax請求上使用csrf-token我應該使用什麼方法呢? – Erik