如何在 Express 中生成 CSRF 令牌？

Question

新手。 我正在使用 ExpressJS/节点。这是我的配置内容：

var express = require('express'),
app = express.createServer(),
jade=require('jade');
// Configuration
app.configure(function(){
app.set('views', __dirname + '/views');
app.use(express.logger());
app.use(express.cookieParser());
app.use(express.session({ secret: "secretive secret" }));
app.set('view engine', 'jade');
app.use(express.bodyParser());
app.use(express.methodOverride());
app.use(require('stylus').middleware({ src: __dirname + '/public' }));
app.use(app.router);
app.use(express.static(__dirname + '/public'));
app.use(express.csrf());

我在 Express 目录中找到了 csrf.js，看到它应该被生成并分配给 req.body._csrf，但我不知道如何访问它。

这是 csrf.js 代码

module.exports = function csrf(options) {
var options = options || {}
, value = options.value || defaultValue;

return function(req, res, next){
// generate CSRF token
var token = req.session._csrf || (req.session._csrf = utils.uid(24));

// ignore GET (for now)
if ('GET' == req.method) return next();

// determine value
var val = value(req);

// check
if (val != token) return utils.forbidden(res);

next();
}
}; 

帮助？谢谢！

Answer 1

自 3.x 起，动态助手已从 Express 中删除。

新的用法是app.use(express.csrf());，它来自Connect。

Answer 2

将令牌添加到动态帮助器。

app.dynamicHelpers({
  token: function(req, res) {
    return req.session._csrf;
  }
});

在你的玉模板中引用它。

input(type='hidden', value=token)

来源：http://senchalabs.github.com/connect/middleware-csrf.html

Answer 3

在 Express 4.x 中，此中间件已被删除。对于 Express 4.x，您可以按以下方式进行操作

var csrf = require('csurf');
app.use(csrf());

啊！！您需要在session 和cookieParser 中间件之后注册csrf 中间件。

内部路线或Ctrl

res.render('someform', { csrf: req.csrfToken() });

或者你也可以像这样设置一个局部变量

app.use(function(req, res, next){
  res.locals.csrf = req.csrfToken();
});

然后在视图中

input(type="hidden", name="_csrf", value="#{csrf}")

你完成了！ :)

Answer 4

如果您还想为您的 CSRF 令牌设置一个可以被您的前端读取的安全 cookie（例如，角度），您可以这样做：

app.use csrf()

app.use (req, res, next) ->
  res.cookie('XSRF-TOKEN', req.csrfToken(), {secure: true})
next()