csurf节点:csrf令牌多次使用且没有错误

时间:2017-10-12 12:31:24

标签: javascript node.js ajax express csrf

我已经写了一个项目,它已接近它的生产阶段,我不小心在我的代码中发现了一个错误

我的项目有一个页面,其中我有许多表单,我使用ajax发布它们,我发现我没有为每个ajax请求更新csrf令牌而我的csurf-npm模块没有抛出任何错误

我的项目太大了,我无法在这里写,但我唯一使用它的地方是:

var csrfProtection = require("csurf")({cookie: true});

在我的路由器中:

router.post(csrfProtection(),/*some BILIBILI function*/);

并且我将其发送到我用ajax发布表单的页面:

req.csrfToken();
你们可以帮我弄清楚发生了什么。

谢谢

1 个答案:

答案 0 :(得分:1)

我不认为这是一个问题,令牌对于会话来说可能是唯一的。见https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet#Synchronizer_.28CSRF.29_Tokens

相关问题
最新问题