如何在Express中生成CSRF令牌?
新手。 我正在使用ExpressJS /节点。 这是我的configuration的东西:
var express = require('express'), app = express.createServer(), jade=require('jade'); // Configuration app.configure(function(){ app.set('views', __dirname + '/views'); app.use(express.logger()); app.use(express.cookieParser()); app.use(express.session({ secret: "secretive secret" })); app.set('view engine', 'jade'); app.use(express.bodyParser()); app.use(express.methodOverride()); app.use(require('stylus').middleware({ src: __dirname + '/public' })); app.use(app.router); app.use(express.static(__dirname + '/public')); app.use(express.csrf()); 我在Express目录中find了csrf.js,看到它应该生成并分配给req.body._csrf,但我不确定如何访问它。
这是csrf.js代码
module.exports = function csrf(options) { var options = options || {} , value = options.value || defaultValue; return function(req, res, next){ // generate CSRF token var token = req.session._csrf || (req.session._csrf = utils.uid(24)); // ignore GET (for now) if ('GET' == req.method) return next(); // determine value var val = value(req); // check if (val != token) return utils.forbidden(res); next(); } };
帮帮我? 谢谢!
自3.x以来,dynamic帮助程序已从Express中删除。
新的用法是app.use(express.csrf()); ,来自Connect 。
将令牌添加到dynamic助手。
app.dynamicHelpers({ token: function(req, res) { return req.session._csrf; } });
参考你的玉模板。
input(type='hidden', value=token)
来源: http : //senchalabs.github.com/connect/middleware-csrf.html
在Express 4.x中,此中间件被删除。 对于Express 4.x,你可以这样做
var csrf = require('csurf'); app.use(csrf());
啊!! 您需要在session和cookieParser中间件之后注册csrf中间件。
在路由或Ctrl中
res.render('someform', { csrf: req.csrfToken() });
或者你也可以像这样设置一个局部variables
app.use(function(req, res, next){ res.locals.csrf = req.csrfToken(); });
然后在视图中
input(type="hidden", name="_csrf", value="#{csrf}")
你完成了! 🙂
如果您还想为您的前端(例如,angular度)读取的CSRF令牌设置安全Cookie,则可以这样做:
app.use csrf() app.use (req, res, next) -> res.cookie('XSRF-TOKEN', req.csrfToken(), {secure: true}) next()