使用csrf令牌

时间:2012-05-23 12:20:45

标签: node.js express csrf csrf-protection

我对通过使用生成csrf令牌来保护我的Web应用程序感兴趣。我的问题是如何将该令牌发送回服务器:使用查询参数或http头x-csrf-token?

有什么区别

2 个答案:

答案 0 :(得分:9)

由于您使用的是Express,因此可以使用其CSRF中间件(通过Connect):http://www.senchalabs.org/connect/csrf.html

您可以在此处查看评论来源:https://github.com/senchalabs/connect/blob/master/lib/middleware/csrf.js

您需要做的就是包含该中间件,然后在POST表单中(或PUT等任何变异状态的请求)将变量_csrf设置为具有值req.session._csrf

在此处查看示例:https://github.com/senchalabs/connect/blob/master/examples/csrf.js

<强>更新

自Connect 2.9.0起,您必须使用req.csrfToken()代替req.session._csrf

完整示例:https://github.com/senchalabs/connect/blob/master/examples/csrf.js

提交:https://github.com/senchalabs/connect/commit/70973b24eb1abe13b2da4f45c1edbb78c611d250

<强> UPDATE2

连接中间件被拆分为不同的模块(和相关的存储库),你可以在这里找到它们(包括CSRF):https://github.com/senchalabs/connect#middleware

答案 1 :(得分:3)

从我的角度来看,您应该在隐藏字段中提交表单时使用csrf POST参数。这是唯一的出路。

但是对于AJAX请求,我强烈建议您使用X-CSRF-Token标头。主要是因为,如果操作正确,它将为您省去记住为每个POST请求添加令牌的麻烦。或者,当使用诸如jQuery Form之类的库时,在提交时添加额外的POST参数可能会变成hackish。

例如,如果您对AJAX请求使用jQuery,它会为您提供a hook,您可以使用{{3}}在请求发出之前自动且透明地设置X-CSRF-Token。因此,需要很少的客户端代码修改。而且你的代码非常棒。

-

我基于Django的几乎所有项目成功使用的示例实现将是:

jQuery(document).ajaxSend(function(event, xhr, settings) {

  function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie != '') {
      var cookies = document.cookie.split(';');
      for (var i = 0; i < cookies.length; i++) {
        var cookie = jQuery.trim(cookies[i]);
        // Does this cookie string begin with the name we want?
        if (cookie.substring(0, name.length + 1) == (name + '=')) {
          cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
          break;
        }
      }
    }
    return cookieValue;
  }

  function sameOrigin(url) {
    // url could be relative or scheme relative or absolute
    var host = document.location.host; // host + port
    var protocol = document.location.protocol;
    var sr_origin = '//' + host;
    var origin = protocol + sr_origin;
    // Allow absolute or scheme relative URLs to same origin
    return (url == origin || url.slice(0, origin.length + 1) == origin + '/') ||
           (url == sr_origin || url.slice(0, sr_origin.length + 1) == sr_origin + '/') ||
           // or any other URL that isn't scheme relative or absolute i.e relative.
           !(/^(\/\/|http:|https:).*/.test(url));
  }

  function safeMethod(method) {
    return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
  }

  if (!safeMethod(settings.type) && sameOrigin(settings.url)) {
    xhr.setRequestHeader("X-CSRFToken", getCookie('csrf.token'));
  }
});

在服务器端,您只需要设置一个包含CSRF令牌的cookie,这样客户端就可以轻松获取令牌。我将app.use(express.csrf())替换为:

app.use((function(options) {

  var csrf = express.csrf(options);

  return function(req, res, next) {

    function onCsrfCalled() {
      var token = req.session._csrf;
      var cookie = req.cookies['csrf.token'];

      // Define a cookie if not present
      if(token && cookie !== token) {
        res.cookie('csrf.token', token);
      }

      // Define vary header
      res.header('Vary', 'Cookie');

      next();
    }

    csrf(req, res, onCsrfCalled);
  }
})());
相关问题
最新问题