Форма защиты csrf Nodejs - PullRequest
0 голосов
/ 24 мая 2018

У меня небольшая проблема с моим приложением Nodejs.Я хочу защитить свои формы с помощью токена csrf, но это не работает.У меня ошибка типа

ForbiddenError: invalid csrf token
POST http://localhost:3000/addfile 403 (Forbidden)

Я хочу создать токен csrf для всех запросов.Я могу создать токен csrf, но если я использую такие методы, как: POST / PUT или DELETE, это не сработает.

Я не понимаю, почему у меня есть эта ошибка.Спасибо за ваши ответы.

app.js

var express             = require("express");
var bodyParser          = require("body-parser");
var mongoose            = require('mongoose');
var fs                  = require('fs');
var path                = require('path');
var logger              = require('morgan');
var expressValidator    = require('express-validator');
var csrf                = require('csurf');
var session             = require('express-session');
var passport            = require('passport');
var PORT                = 3000;
var config              = require('./config/database');
var app                 = express();

// Connexion to MongoDb
mongoose.connect(config.database, function(err) {
    if(err){
        console.log(err);
    }
    else{
        console.log("Connected to MongoDb");
    }
});
// Middleware
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({extended: false}));
app.use(expressValidator());
app.set('views',path.join(__dirname, ''));
app.set('view engine','pug');
app.use(express.static(path.join(__dirname, '')));
app.disable('x-powered-by');
app.use(session({
    name: 'SESS_ID',
    secret: config.secret,
    resave: true,
    saveUninitialized: true,
    cookie: {
        secure: false,
        httpOnly: true,
        maxAge: 5*60*1000 } //15minutes*60sec*1000ms
    //cookie: {secure: false}   //https = true, http=false
}));
app.use(csrf());
app.use(passport.initialize());
app.use(passport.session());
require('./config/passport')(passport);

app.use(function(req, res, next)  {
    res.locals._csrf = req.csrfToken();
    next();
});

app.use('/', require('./routes/fileRoutes'));
app.use('/', require('./routes/authRoutes'));

app.listen(PORT,function(){
    console.log("Server started at the port " + PORT);
});

routs / fileRoutes.js

app.get('/',function(req,res){
    File.find(function(err, files){
        res.render('views/layout',{files:files});
    });
});
app.post('/addfile',upload,function(req,res){
    if (req.fileValidationError) {
        return res.end("Error PDF");
    } else {
        for (var i = 0; i < req.files.length; i++)
        {
            var files = new File ();  
                files.fieldname= req.files[i].fieldname;
                files.originalname= req.files[i].originalname;
                files.encoding= req.files[i].encodin;
                files.path= req.files[i].path;
                files.save(function(err, data){
            });
        }
        res.redirect('/');
    }
});

layout.pug

form#uploadForm(enctype='multipart/form-data', action='/addfile', method='post')
    input(type='hidden', name='_csrf', value=_csrf)
    input(type='file', name='userPhoto', multiple='')
    input(type='submit', value='Upload Image', name='submit')
    input#random(type='text', name='random')

1 Ответ

0 голосов
/ 31 мая 2018

Я вижу, у вас есть:

input(type='hidden', name='_csrf', value=_csrf)

Какое значение для вас, если console.log (_csrf)?Я также заметил, что вы не поместили это в кавычки.

...