CSRF和Multer - 无效的CSRF令牌错误

时间:2017-03-09 03:08:04

标签: node.js express csrf multer

当我添加对CSRF令牌的支持以保持提交安全时,我遇到了我的多部分表单的问题。我已将CSRF生成全局设置为req文件中的app.js对象,除了multipart之外,没有任何其他类型的Web表单存在问题。我已经阅读了multer的常见问题,与CSRF的放置和multer设置相关,或者将其作为提交查询附加。由于安全原因,我宁愿不采用附加查询的方法,并且更愿意看看如何修复我的设置以像我的其他表单一样运行。

错误讯息: 

ForbiddenError: invalid csrf token
    at csrf (/Users/user/Desktop/Projects/node/test-app/node_modules/csurf/index.js:112:19)

app.js: 

var csrf = require('csurf');
....

//Set CSRF for Form Tokens
app.use(csrf());
app.use(function(req, res, next){
    res.locals._csrf = req.csrfToken();
    next();
});

路线: 

var upload = multer({
    storage: multerS3({
        s3: s3,
        bucket: options.Bucket,
        contentType: multerS3.AUTO_CONTENT_TYPE,
        acl: options.ACL,
        key: function(req, file, cb){
            var fileNameFormatted = file.originalname.replace(/\s+/g, '-').toLowerCase();
            cb(null, req.user.organizationId + '/' + uploadDate + '/' + fileNameFormatted);
        }
    }),
    fileFilter: function(req, file, cb){
        if(!file.originalname.match(/\.(jpg|jpeg|png|gif|csv|xls|xlsb|xlsm|xlsx)$/)){
            return cb('One of your selected files is not supported', false);
        }
        cb(null, true);
    }
}).array('fileUpload', 5);


appRoutes.route('/blog/create')

.get(function(req, res){
    res.render('pages/app/blog-create.hbs',{
        errorMessage: req.flash('error'),
        csrfToken: req.csrfToken()
    });
})

.post(function(req, res){

upload(req, res, function(err){
            if(err){
                req.flash('error', err);
                res.redirect(req.get('referer'));
                return;
            }

 models.Blog.create({
                date: req.body.date,
                title: req.body.title,
                content: req.body.content,
                userId: req.user.userId     
            }).then(function(){
                req.flash('info', 'Blog was successfully created.');
                res.redirect('/app');
            });
})
});

查看: 

<form action="/app/blog/create" method="post" enctype="multipart/form-data" id="blogSubmission">
                <input type="hidden" name="_csrf" value="{{csrfToken}}">

....
</form>

2 个答案:

答案 0 :(得分:0)

嗨:)这有点晚了但是(首先我可能不是一个好的英语演讲者,所以如果你看到任何语法或拼写错误使用

{try(){understand()}catch(e){/*do nothing :)*/}}

方法:))

上个月我遇到了你的问题,而且我找不到一个好的答案真是太糟糕了

但是你在这里:)))(说实话,我不是很擅长阅读其他代码,所以请阅读我的答案并弄清楚如何编辑你的代码)

老实说,如果你想使用通常的发布表单方法没有好的答案(有一种方法建议你先获取并保存文件然后检查它的csrf我真的不太喜欢)但是如果你愿意做一个有点硬的前端javascript然后你就是在美好的一天:

整个想法是为您的表单设置标题然后发送它(所有使用 AJAX JQuery ):

这是一个如何做的小例子:

$.ajax({
    cache: false,
    type: 'POST',
    url: 'the URL you want to post to',
    contentType: "what ever you want",
    headers: {"X-CSRF-TOKEN": csrfToken},
    data: your data,
    success: function (res) {
        some code after you get a response from server
        console.log(res)
    }
})

答案 1 :(得分:0)

只需在csurf之前添加Multer-

app.use(multer().single('image-field-name'));
app.use(csurf());

并确保在POST期间传递_csrf值-

<input type="hidden" name="_csrf" value="<%= csrfToken %>">

如果上述解决方案不起作用,则只需在POST操作上添加“ _csrf”值- 

<form action="/admin/?_csrf=<%=csrfToken%>" method="POST" enctype="multipart/form-data">
</form>
相关问题
最新问题