我对使用生成 csrf 令牌来保护我的 Web 应用程序感兴趣。我的问题是我需要如何将该令牌发送回服务器:使用查询参数或 http 标头 x-csrf-token ?
有什么区别
我对使用生成 csrf 令牌来保护我的 Web 应用程序感兴趣。我的问题是我需要如何将该令牌发送回服务器:使用查询参数或 http 标头 x-csrf-token ?
有什么区别
由于您使用的是 Express,您可以使用其 CSRF 中间件(通过 Connect):http ://www.senchalabs.org/connect/csrf.html
您可以在此处查看注释源:https ://github.com/senchalabs/connect/blob/master/lib/middleware/csrf.js
您需要做的就是包含该中间件,然后在您的 POST 表单(或 PUT 等任何改变状态的请求)中将变量设置_csrf
为具有 value req.session._csrf
。
在此处查看示例:https ://github.com/senchalabs/connect/blob/master/examples/csrf.js
更新
从 Connect 2.9.0 开始,您必须使用req.csrfToken()
而不是req.session._csrf
完整示例:https ://github.com/senchalabs/connect/blob/master/examples/csrf.js
提交:https ://github.com/senchalabs/connect/commit/70973b24eb1abe13b2da4f45c1edbb78c611d250
更新2
连接中间件被分成不同的模块(和相关的 repos),你可以在这里找到它们(包括 CSRF 一个):https ://github.com/senchalabs/connect#middleware
从我的角度来看,您应该csrf
在提交表单时在隐藏字段中使用 POST 参数。这是唯一的出路。
但是对于 AJAX 请求,我强烈建议您改用X-CSRF-Token
标头。主要是因为,如果正确完成,它将为您省去记住为每个 POST 请求添加令牌的麻烦。或者,当使用 jQuery Form 之类的库时,在提交时添加额外的 POST 参数可能会变得很糟糕。
例如,如果您将 jQuery 用于您的 AJAX 请求,它会为您提供一个挂钩,您可以使用该挂钩X-CSRF-Token
在发出请求之前自动且透明地设置。因此,只需要很少的客户端代码修改。你的代码的威力猛增。
--
我在几乎所有项目中成功使用的示例实现,基于 Django 的,将是:
jQuery(document).ajaxSend(function(event, xhr, settings) {
function getCookie(name) {
var cookieValue = null;
if (document.cookie && document.cookie != '') {
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++) {
var cookie = jQuery.trim(cookies[i]);
// Does this cookie string begin with the name we want?
if (cookie.substring(0, name.length + 1) == (name + '=')) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
function sameOrigin(url) {
// url could be relative or scheme relative or absolute
var host = document.location.host; // host + port
var protocol = document.location.protocol;
var sr_origin = '//' + host;
var origin = protocol + sr_origin;
// Allow absolute or scheme relative URLs to same origin
return (url == origin || url.slice(0, origin.length + 1) == origin + '/') ||
(url == sr_origin || url.slice(0, sr_origin.length + 1) == sr_origin + '/') ||
// or any other URL that isn't scheme relative or absolute i.e relative.
!(/^(\/\/|http:|https:).*/.test(url));
}
function safeMethod(method) {
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
if (!safeMethod(settings.type) && sameOrigin(settings.url)) {
xhr.setRequestHeader("X-CSRFToken", getCookie('csrf.token'));
}
});
在服务器端,您只需要设置一个包含 CSRF 令牌的 cookie,以便客户端轻松获取令牌。我将其替换为app.use(express.csrf())
:
app.use((function(options) {
var csrf = express.csrf(options);
return function(req, res, next) {
function onCsrfCalled() {
var token = req.session._csrf;
var cookie = req.cookies['csrf.token'];
// Define a cookie if not present
if(token && cookie !== token) {
res.cookie('csrf.token', token);
}
// Define vary header
res.header('Vary', 'Cookie');
next();
}
csrf(req, res, onCsrfCalled);
}
})());