我有这种奇怪的行为我第一次加载页面时出现错误,基本上是'EBADCSRFTOKEN'我一直试图弄明白为什么它只在第一次页面出现时加载,如果我点击刷新并获得一个新令牌,一切正常。
同样的情况发生在我删除csurf cookie,点击刷新并获得新令牌时,但第一次总是失败我不确定为什么预期的字符串和令牌都不匹配。
代码片段(我正在使用MEANJS堆栈):
app.use(busboy());
app.use(bodyParser.urlencoded({ extended: false }));
app.use(bodyParser.json({limit: '50mb'}));
app.enable('jsonp callback');
var cp = cookieParser;
app.use(cp());
var mStore = new mongoStore({
db: db.connection.db,
collection: config.sessionCollection
});
app.use(session({
secret: config.sessionSecret,
store: mStore,
cookie: {httpOnly: false},
key:config.cookieKey,
}));
app.use(csrf());
//setting up a middleware
var middlewareFiles = [
'csrf-rule.server.js',
'secure-routes.server.js'
];
middlewareFiles.forEach(function(routeSecure){
require(path.resolve('./app/middleware/'+routeSecure))(app);
});
app.use(function(err, req, res, next) {
if (!err) return next();
if(err.code === 'EBADCSRFTOKEN'){
res.json(484, {data: 'invalid csrf token.'});
return;
}
// Error page
res.status(500).render('500', {
error: err.stack
});
});
中间件:
module.exports = function(app) {
app.use(function(req, res, next){
res.cookie('x-xsrf-token', req.csrfToken());
res.locals.csrftoken = req.csrfToken();
next();
});
};
令牌的不同值:
曲奇
fgeHcu6v-hgdCMuRjnmE9BYV_QrvrfzwJoeA
req.csrfToken()(在中间件请求中)
fgeHcu6v-hgdCMuRjnmE9BYV_QrvrfzwJoeA
预期(在csurf库中)
fgeHcu6v-T9CuTWL8hVGHMtSskeh0yzqaP0k
令牌(在csurf库中)
fgeHcu6v-hgdCMuRjnmE9BYV_QrvrfzwJoeA
似乎预期与令牌类似,它们在破折号之后有所不同,任何想法?
更新:
基本上,我遵循@shakiba建议我删除了我的自定义中间件,我让csurf库处理它。
我将配置更改为:
app.use(csrf({ cookie: true }));
现在我得到一个名为 _csrf 的cookie,现在问题有点不同,令牌值与库中的秘密令牌相同,所以当库“转换时“秘密令牌是预期令牌,它们不匹配。
以下是一些示例值:
曲奇 BDir8-6hkdy-_YsXNb305IIx
秘密 BDir8-6hkdy-_YsXNb305IIx
令牌 BDir8-6hkdy-_YsXNb305IIx
预期 BDir8-zbwt4-K_Uv8t1TtmxxctkfcMN1M
答案 0 :(得分:2)
我相信你没有正确使用csurf,csurf为你设置了cookie,你不应该自己设置它,它的值与csrfToken()值不同。据我所知,从文档和源代码csrfToken()中可以使用csurf为cookie设置的值生成值,因为它们state可以缓解BREACH攻击。
我制作了更简单的csurf版本,它只使用cookie而且没有对BREACH攻击做任何事情,因为BREACH攻击在我看来是一个应该在独立模块/库中解决的独立问题。我将在github上分享它,以便你可以使用它。