使用lusca时客户端未定义CSRF令牌
我在VueJS应用程序的Node层中使用lusca和express-session,并试图防止CSRF攻击。我正在使用以下lusca配置:
import lusca from "lusca";
import config from "../../properties/config.js";
export default function (app) {
const luscaConfig = {
csrf: true,
xssProtection: config.get("security:xss:enabled")
};
if (config.get("security:csp:enabled")) {
luscaConfig.csp = {
policy: config.get("security:csp:policy")
};
}
if (config.get("security:xframe:enabled")) {
luscaConfig.xframe = config.get("security:xframe:origin");
}
if (config.get("security:p3p:enabled")) {
luscaConfig.p3p = config.get("security:p3p:policy");
}
app.use(lusca(luscaConfig));
};
有了这个,我能够在与API交互(登录)的Web客户端中执行的第一个操作中看到以下错误:
很酷,所以在某种程度上看起来lusca配置正在完成它的工作,现在我只需要在客户端做正确的事情,以确保在传出请求的标头中正确设置了CSRF令牌。我发现this post似乎对我的事业有所帮助,特别是abusalameh用户提供的答案。在我要实例化应用程序本身的Vue应用程序的main.js文件中,添加了以下内容:
import axios from 'axios'
window.axios = axios
console.log(document.querySelector('meta[name="csrf-token"]'))
但是,null正在注销,并且似乎未检测到CSRF令牌。如何访问lusca提供的CSRF令牌,然后能够在标头中设置它,并确保正确识别我的请求,但不能识别恶意代理的请求?
0 个答案:
没有答案
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?