Question

我见过类似的问题，但没有一个解决方案对我有用。我正在使用express 3，使用ejs进行模板化。令牌正在html中填充，如下所示：

<input type="hidden" name="_csrf" value="IS+SwCqr3j+vGW9QSqIk56ZC/">

这是输入字段的模板html：

<input type="hidden" name="_csrf" value=<%= token %>/>

但是当我提交表格时，我得到了

Error: Forbidden at Object.exports.error

这是我的主应用程序配置功能看起来像

app.configure(function () {
    app.engine('.html', require('ejs').__express);
    app.set('views', __dirname + '/views');
    app.set('view engine', 'ejs');
    app.use(express.bodyParser());
    app.use(express.methodOverride());
    app.use(express.cookieParser());
    app.use(express.static(__dirname + '/public'));
    app.use(express.session({
        store:  new mongoStore({
            url:'mongodb://localhost/test',
            maxAge: 300000
        }),
        secret: '076ee61d63ba104r4e34872411e433b2',
        cookie: {
            path     : '/',
            httpOnly : true,
            maxAge   : 1000*60*60*24*30*12
        }
    }));
    app.use(express.csrf());
    app.use(function(req, res, next){
        res.locals.token = req.session._csrf;
        next();
    });
    app.use(app.router);
});

会话工作正常，令牌正在填充，所以我现在无法做什么。

Answer 1

如果有人遇到此问题，我忘了在令牌

周围添加引号

<input type="hidden" name="_csrf" value="<%= token %>"/>

Express +节点CSRF禁止使用

1 个答案: