Question

новичок.Я использую ExpressJS / Node.Вот мой конфиг:

var express = require('express'),
app = express.createServer(),
jade=require('jade');
// Configuration
app.configure(function(){
app.set('views', __dirname + '/views');
app.use(express.logger());
app.use(express.cookieParser());
app.use(express.session({ secret: "secretive secret" }));
app.set('view engine', 'jade');
app.use(express.bodyParser());
app.use(express.methodOverride());
app.use(require('stylus').middleware({ src: __dirname + '/public' }));
app.use(app.router);
app.use(express.static(__dirname + '/public'));
app.use(express.csrf());

Я нашел csrf.js в каталогах Express и вижу, что он должен быть сгенерирован и назначен для req.body._csrf, но я не уверен, как получить к нему доступ.

Вот код csrf.js

module.exports = function csrf(options) {
var options = options || {}
, value = options.value || defaultValue;

return function(req, res, next){
// generate CSRF token
var token = req.session._csrf || (req.session._csrf = utils.uid(24));

// ignore GET (for now)
if ('GET' == req.method) return next();

// determine value
var val = value(req);

// check
if (val != token) return utils.forbidden(res);

next();
}
};

Помощь?Спасибо!

chenglou · Answer 1 · 04 сентября 2012

Динамические помощники были удалены из Express с 3.x.

Новое использование будет app.use(express.csrf());, что происходит от Connect .

fent · Answer 2 · 03 января 2012

Добавьте токен к динамическим помощникам.

app.dynamicHelpers({
  token: function(req, res) {
    return req.session._csrf;
  }
});

Ссылка на него в вашем нефритовом шаблоне.

input(type='hidden', value=token)

Источник: http://senchalabs.github.com/connect/middleware-csrf.html

Nur Rony · Answer 3 · 09 июля 2014

В Express 4.x это промежуточное ПО удалено.Для Express 4.x вы можете сделать это следующим образом

var csrf = require('csurf');
app.use(csrf());

Ах !!вам нужно зарегистрировать промежуточное программное обеспечение csrf после своего промежуточного программного обеспечения session и cookieParser.

Внутри маршрута или Ctrl

res.render('someform', { csrf: req.csrfToken() });

или Вы также можете установить локальную переменную, например, так

app.use(function(req, res, next){
  res.locals.csrf = req.csrfToken();
});

Тогда в поле зрения

input(type="hidden", name="_csrf", value="#{csrf}")

Вы сделали !!:)

Kevin · Answer 4 · 10 августа 2014

Если вы также хотите установить безопасный куки для вашего CSRF-токена, который может быть прочитан вашим веб-интерфейсом (например, угловым), вы можете сделать это:

app.use csrf()

app.use (req, res, next) ->
  res.cookie('XSRF-TOKEN', req.csrfToken(), {secure: true})
next()

Как сгенерировать токены CSRF в Express?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 4 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как сгенерировать токены CSRF в Express?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 4 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы