Node Express 和 csurf - 403(禁止)无效 csrf 令牌

【问题标题】:Node Express and csurf - 403 (Forbidden) invalid csrf tokenNode Express 和 csurf - 403(禁止)无效 csrf 令牌
【发布时间】:2016-02-24 06:33:13
【问题描述】:

通过谷歌搜索查看并尝试了我在这里和其他地方可以找到的所有内容......我只是无法克服这个问题。我正在使用 Node、Express、EJS,并尝试在使用 jQuery ajax 发布的表单上使用 csurf。无论我如何配置 csurf,我都会得到“403 (Forbidden) invalid csrf token”

我尝试在 app.js 和控制器中进行全局配置。这是我在 app.js 中尝试过的:

var express = require('express');
var session  = require('express-session');
var path = require('path');
var favicon = require('serve-favicon');
var logger = require('morgan');
var cookieParser = require('cookie-parser');
var bodyParser = require('body-parser');
var mysql = require('mysql');
var flash = require("connect-flash");
var csrf = require("csurf");

var app = express();

// view engine setup
app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'ejs');

app.use(logger('dev'));
app.use(cookieParser());
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({extended: false}));
app.use(session({
    secret: 'somethingsecret',
    resave: true,
    saveUninitialized: true,
    httpOnly: true,
    secure: false
}));
app.use(csrf());
app.use(function (req, res, next) {
    var token = req.csrfToken();
    res.cookie('XSRF-TOKEN', token);
    res.locals.csrfToken = token;
    console.log("csrf token = " + token);
    next();
});
app.use(flash());
app.use(express.static(path.join(__dirname, 'public')));

app.use(function (err, req, res, next) {
    if (err.code !== 'EBADCSRFTOKEN') return next(err);

    // handle CSRF token errors here
    res.status(403);
    res.send('form tampered with');
})

//routing
var routes = require('./routes/index');
var users = require('./routes/users');
var register = require('./routes/register');

app.use('/', routes);
app.use('/users', users);
app.use('/register', register);

...使用此控制器:

var express = require("express");
var router = express.Router();
var bodyParser = require("body-parser");
var userSvc = require("../service/userservice");

var jsonParser = bodyParser.json();

router.get("/", function(req, res, next) {
    console.log("token = " + token);
    userSvc.getAllPublicRoles(function(data) {
        res.render("register", {
            title: "Register a new account",
            roles: data
        });
    });
});

router.post("/new", jsonParser, function(req, res, next) {
    userSvc.addUser(req.body, function(result) {
        console.log("New user id = " + result.insertId);
        res.send('{"success" : "Updated Successfully", "status" : 200}');
    });
});

...还有这个观点:

表格:

<form id="registerForm" class="form-horizontal" method="post">
    <input type="hidden" name="_csrf" value="<%= csrfToken %>" />

ajax 调用:

        $.ajax({
            url: "/register/new",
            type: "POST",
            dataType: "json",
            data: user
        }).done(function(data) {
            if (data) {
                console.log("Success! = " + data);
            }
        }).fail(function(data) {
            console.log("Something went wrong: " + data.responseText);
        });

然后我只是尝试在控制器中做所有事情,从 app.js 中删除所有引用、调用等,并使用与上面相同的表单和 ajax 调用:

var express = require("express");
var router = express.Router();
var bodyParser = require("body-parser");
var csrf = require("csurf");
var userSvc = require("../service/userservice");

var csrfProtection = csrf();
var jsonParser = bodyParser.json();

router.get("/", csrfProtection, function(req, res, next) {
    var token = req.csrfToken();
    console.log("token = " + token);
    userSvc.getAllPublicRoles(function(data) {
        res.render("register", {
            title: "Register a new account",
            csrfToken: token,
            roles: data
        });
    });
});

router.post("/new", jsonParser, csrfProtection, function(req, res, next) {
    userSvc.addUser(req.body, function(result) {
        console.log("New user id = " + result.insertId);
        res.send('{"success" : "Updated Successfully", "status" : 200}');
    });
});

不知道从这里去哪里。我已经使用node大约两周了,在我的业余时间,所以请原谅我的无知。

【问题讨论】:

    标签: javascript jquery ajax node.js express


    【解决方案1】:

    如果您想将令牌存储在 cookie 中而不是会话中,请让 csurf 为您创建 cookie,例如

    // Store the token in a cookie called '_csrf'
app.use(csrf({cookie: true));

// Make the token available to all views
app.use(function (req, res, next){
    res.locals._csrf = req.csrfToken();
    next();
});

    然后,您需要确保令牌在使用 AJAX 进行调用时可用,无论是通过 POST 数据,还是作为自定义请求标头,例如“xsrf-token”。

    此时,您向表单提供令牌,而不是实际请求(使用 AJAX 发送)。

    例如,您可以在 AJAX 设置中呈现令牌:

    $.ajaxSetup({
   headers: {"X-CSRF-Token": "{{csrfToken}}" }
});

    【讨论】:

    • 我试过了,然后根据我找到的其他样本将其删除。你是对的,我需要它来做饼干,但这并不是最终让它起作用的原因。感谢您的回答!
    【解决方案2】:

    经过几个小时的故障排除和搜索,我找到了一个有助于回答问题的帖子。我所需要的只是在 ajax 帖子中传递标头值。有道理,我只是忽略了它。像这样:

    <input type="hidden" id="_csrf" name="_csrf" value="<%= csrfToken %>" />

    ...然后在 jQuery 中:

        $.ajaxSetup({
        headers: {"X-CSRF-Token": $("#_csrf").val()}
    });

    【讨论】:

    • 当我说你需要在实际的 AJAX 请求中发送它时,这就是我的回答所说的,我只是没有提供代码示例来做到这一点。我已经用其他人的示例更新了我的答案。
    • @AshleyB - 很公平,你值得称赞。我已经尝试了其他几种变体,直到找到一种可行的变体,所以一个例子肯定对每个人都有帮助。谢谢!
    【解决方案3】:

    除了在帖子的标题中添加“X-CSRF-Token”之外,您还想完全禁用 cookie!

    var csrfProtection = csurf({ cookie: false });

    作者在这里提到 https://github.com/expressjs/csurf/issues/52

    cookie 和 session 验证不应该结合起来——尽管这有点误导,因为他在他的文档中结合了 cookie 和 session 验证: https://github.com/expressjs/csurf#simple-express-example

    【讨论】:

      【解决方案4】:

      我个人项目的另一种方法是在我成功提交表单时重新发送新令牌:

      例如,在我的表单(文件上传)上,我有以下 html:

      <form id="upload_form" type="multipart/form-data" data-csrf="{{csrfToken}}" method="post" action="/data_assets">
  <input id="excell_upload" type="file" style="visible:hidden" name="data_assets"/>
</form>

      在文件更改时,我会像这样触发上传:

       $('#excell_upload').on('change',function(event){

      event.preventDefault();
      var formData = new FormData($("#upload_form")[0]);

      $.ajax({
        'type':$("#upload_form").attr('method'),
        'data': formData,
        'url': $("#upload_form").attr('action'),
        'processData': false,
        'contentType': false,
        'mimeType': 'multipart/form-data',
        'headers': {"X-CSRF-Token": $("#upload_form").attr('data-csrf') },
        'beforeSend': function (x) {
           if (x && x.overrideMimeType) {
               x.overrideMimeType("multipart/form-data");
          }
          $('#trigger_upload').addClass('disabled');
        },
        'success':function(data){
          $('#upload_form').attr('data-csrf',data.csrfToken)
        },
        'fail':function(){

        },
        'complete':function(){
          $('#trigger_upload').removeClass('disabled');
        }
      });
    });

      如您所见,我收到了一个新的 csrf 令牌,以便能够重复使用我的表单进行新的提交。我像这样重新生成 CSRF 令牌:

      app.post('/data_assets',function(req,res,next){
  res.json({'csrfToken':req.csrfToken()});
});

      【讨论】:

        猜你喜欢
        • 2021-06-19
        • 2014-08-26
        • 2020-07-09
        • 2015-08-24
        • 2017-01-08
        • 2012-08-24
        • 2017-07-15
        • 2015-11-10
        • 2020-04-19
        相关资源
        最近更新 更多
        热门标签
        Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode