Как генерировать токены CSRF в Express?

Question

Как генерировать токены CSRF в Express?

новичок. Я использую ExpressJS / Node. Вот мой материал конфигурации:

var express = require('express'),
app = express.createServer(),
jade=require('jade');
// Configuration
app.configure(function(){
app.set('views', __dirname + '/views');
app.use(express.logger());
app.use(express.cookieParser());
app.use(express.session({ secret: "secretive secret" }));
app.set('view engine', 'jade');
app.use(express.bodyParser());
app.use(express.methodOverride());
app.use(require('stylus').middleware({ src: __dirname + '/public' }));
app.use(app.router);
app.use(express.static(__dirname + '/public'));
app.use(express.csrf());

Я нашел csrf.js в каталогах Express и см., что он должен быть сгенерирован и назначен req.тело._csrf, но я не уверен, как получить к нему доступ.

вот csrf.код js

module.exports = function csrf(options) {
var options = options || {}
, value = options.value || defaultValue;

return function(req, res, next){
// generate CSRF token
var token = req.session._csrf || (req.session._csrf = utils.uid(24));

// ignore GET (for now)
if ('GET' == req.method) return next();

// determine value
var val = value(req);

// check
if (val != token) return utils.forbidden(res);

next();
}
};

помочь? Спасибо!

8

csrf express node.js

автор: bear

4 ответов

автор: chenglou · Accepted Answer · 2012-09-04 00:08:13

динамические помощники были удалены из Express с 3.x.

новое использование будет app.use(express.csrf());, который приезжает из подключиться.

автор: fent · Accepted Answer · 2012-01-03 03:19:51

добавьте маркер в динамические помощники.

app.dynamicHelpers({
  token: function(req, res) {
    return req.session._csrf;
  }
});

ссылка на него в вашем шаблоне jade.

input(type='hidden', value=token)

источник:http://senchalabs.github.com/connect/middleware-csrf.html

автор: Nur Rony · Accepted Answer · 2014-07-09 11:06:54

на Экспресс-4.x это промежуточное ПО удаляется. Для Экспресс-4.X вы можете сделать это следующим образом

var csrf = require('csurf');
app.use(csrf());

Ах!! вам необходимо зарегистрировать csrf промежуточное после session и cookieParser промежуточное.

Внутри Маршрута Или Ctrl

res.render('someform', { csrf: req.csrfToken() });

или вы можете установить локальную переменную, также как и

app.use(function(req, res, next){
  res.locals.csrf = req.csrfToken();
});

затем в

input(type="hidden", name="_csrf", value="#{csrf}")

Вы молодец!! :)

автор: Kevin · Accepted Answer · 2015-04-09 22:25:34

Если вы также хотите установить безопасный cookie для вашего токена CSRF, который может быть прочитан вашим интерфейсом (например, angular), вы можете сделать следующее:

app.use csrf()

app.use (req, res, next) ->
  res.cookie('XSRF-TOKEN', req.csrfToken(), {secure: true})
next()