【发布时间】:2012-05-29 23:50:08
【问题描述】:
我有兴趣通过生成一个 csrf 令牌来保护我的 Web 应用程序。我的问题是我需要如何将该令牌发送回服务器:使用查询参数或 http 标头 x-csrf-token ?
又有什么区别
【问题讨论】:
标签: node.js express csrf csrf-protection
【发布时间】:2012-05-29 23:50:08
【问题描述】:
由于您使用的是 Express,您可以使用其 CSRF 中间件(通过 Connect):http://www.senchalabs.org/connect/csrf.html
您可以在此处查看评论来源:https://github.com/senchalabs/connect/blob/master/lib/middleware/csrf.js
您需要做的就是包含该中间件,然后在您的 POST 表单(或 PUT 等任何改变状态的请求)中将变量 _csrf 设置为具有值 req.session._csrf。
在此处查看示例:https://github.com/senchalabs/connect/blob/master/examples/csrf.js
更新
自 Connect 2.9.0 起,您必须使用 req.csrfToken() 而不是 req.session._csrf
完整示例:https://github.com/senchalabs/connect/blob/master/examples/csrf.js
提交:https://github.com/senchalabs/connect/commit/70973b24eb1abe13b2da4f45c1edbb78c611d250
更新2
connect 中间件被分成不同的模块(和相关的 repos),你可以在这里找到它们(包括 CSRF 一个):https://github.com/senchalabs/connect#middleware
【讨论】:
-
是的,我知道这一点,但我想知道什么更好用:标头 x-csrf-token 还是隐藏字段?
-
正如您在此处看到的:github.com/senchalabs/connect/blob/master/lib/middleware/… Express 首先检查 POST 值,然后检查查询字符串值,然后检查 x-csrf-token 标头,因此最好的方法是通过隐藏 _csrf 字段和值。
-
我想在 ajax 请求上使用 csrf-token 那么我应该使用什么方法呢?
-
同理,在csrf保护方面与普通请求没有区别。发送请求时只需使用与隐藏字段相同的令牌即可。
-
@alessioalex 嘿,这个
Full example: https://github.com/senchalabs/connect/blob/master/examples/csrf.js给出了 404
在我看来,您应该在提交表单时在隐藏字段中使用csrf POST 参数。这是唯一的出路。
但对于 AJAX 请求,我强烈建议您改用 X-CSRF-Token 标头。主要是因为,如果正确完成,它将为您省去记住为每个 POST 请求添加令牌的麻烦。或者,当使用 jQuery Form 等库时,在提交时添加额外的 POST 参数可能会变得很糟糕。
例如,如果您将 jQuery 用于您的 AJAX 请求,它会为您提供a hook,您可以使用它在发出请求之前自动透明地设置X-CSRF-Token。因此,只需要很少的客户端代码修改。而且你的代码的威力猛增。
--
我在几乎所有项目中都成功使用过的示例实现,基于 Django 的,它是:
jQuery(document).ajaxSend(function(event, xhr, settings) {
function getCookie(name) {
var cookieValue = null;
if (document.cookie && document.cookie != '') {
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++) {
var cookie = jQuery.trim(cookies[i]);
// Does this cookie string begin with the name we want?
if (cookie.substring(0, name.length + 1) == (name + '=')) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
function sameOrigin(url) {
// url could be relative or scheme relative or absolute
var host = document.location.host; // host + port
var protocol = document.location.protocol;
var sr_origin = '//' + host;
var origin = protocol + sr_origin;
// Allow absolute or scheme relative URLs to same origin
return (url == origin || url.slice(0, origin.length + 1) == origin + '/') ||
(url == sr_origin || url.slice(0, sr_origin.length + 1) == sr_origin + '/') ||
// or any other URL that isn't scheme relative or absolute i.e relative.
!(/^(\/\/|http:|https:).*/.test(url));
}
function safeMethod(method) {
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
if (!safeMethod(settings.type) && sameOrigin(settings.url)) {
xhr.setRequestHeader("X-CSRFToken", getCookie('csrf.token'));
}
});
在服务器端,您只需要设置一个包含 CSRF 令牌的 cookie,以便客户端轻松获取令牌。我将app.use(express.csrf()) 替换为:
app.use((function(options) {
var csrf = express.csrf(options);
return function(req, res, next) {
function onCsrfCalled() {
var token = req.session._csrf;
var cookie = req.cookies['csrf.token'];
// Define a cookie if not present
if(token && cookie !== token) {
res.cookie('csrf.token', token);
}
// Define vary header
res.header('Vary', 'Cookie');
next();
}
csrf(req, res, onCsrfCalled);
}
})());
【讨论】: