CSRF是一种攻击,它迫使最终用户在当前已通过身份验证的Web应用程序上执行不需要的操作。
之所以会发生这种情况,是因为Cookie随每个请求一起发送到网站-即使这些请求来自其他站点。
我们可以使用csurf模块创建csrf令牌并对其进行验证。
例
var express = require('express')
var cookieParser = require('cookie-parser') //用于cookie解析
var csrf = require('csurf') //csrf模块
var bodyParser = require('body-parser') //用于身体解析
// 设置路由中间件
var csrfProtection = csrf({ cookie: true })
var parseForm = bodyParser.urlencoded({ extended: false })
// 创建快递应用
var app = express()
// 解析Cookie
app.use(cookieParser())
app.get('/form', csrfProtection, function(req, res) {
// 生成并将csrfToken传递给视图
res.render('send', { csrfToken: req.csrfToken() })
})
app.post('/process', parseForm, csrfProtection, function(req, res) {
res.send('data is being processed')
})因此,当我们访问时GET /form,它将把csrf令牌传递csrfToken给视图。
现在,在视图内部,将csrfToken值设置为名为的隐藏输入字段的值_csrf。
例如用于handlebar模板
<form action="/process" method="POST">
<input type="hidden" name="_csrf" value="{{csrfToken}}">
Name: <input type="text" name="name">
<button type="submit">Submit</button>
</form>例如用于jade模板
form(action="/process" method="post") input(type="hidden", name="_csrf", value=csrfToken) span Name: input(type="text", name="name", required=true) br input(type="submit")
例如用于ejs模板
<form action="/process" method="POST"> <input type="hidden" name="_csrf" value="<%= csrfToken %>"> Name: <input type="text" name="name"> <button type="submit">Submit</button> </form>