我有一个第三方想要通过 POST 向我的网站发送表单以预设一些输入。 POST 也用于完成表单并在提供所有字段后处理数据。
当用户提交表单并且数据将在服务器端处理时,表单应该受 CSRF 保护,但是当第三方最初发送一些数据时应该跳过 CSRF 令牌检查。
在使用 csurf 时,基于发送到特定路由的数据和 HTTP 动词/方法绕过 CSRF 验证的干净方法是什么?
我看到的一种方法是通过使用不同的路由端点来解决这个问题,但有没有更直接的解决方案?
【问题讨论】:
标签: node.js forms express csrf csrf-token
您可以在这里找到答案:Calling a middleware from within a middleware in NodeJS/ExpressJS。问题是实现一个中间件,它会在条件匹配时调用 csrf 中间件,或者直接用next() 调用下一个中间件。
例子:
app.use('my-route', (req, res, next) => {
if (condition) {
return csrfMiddleware(req, res, next);
} else {
return next();
}
});
如果您想将此中间件用于特定动词,请将app.use 替换为app.<verb>。例如,app.get 几乎是一个检查 get 动词的中间件。
【讨论】: