logo标签列表

ForbiddenError: 无效的csrf令牌,express js。

javascriptnode.jsexpresscsrfcsrf-protection
8

我尝试使用csurf,但好像遇到了问题。目前的代码看起来像这样:

index.ejs

<form method="post" action="/">
            <input type="hidden" name="_csrf" value="{{csrfToken}}">
            .
            .
</form>

在表单中输入用户名和密码的位置。
app.js
   var express = require('express');
var helmet = require('helmet');
var csrf = require('csurf');
var path = require('path');
var favicon = require('serve-favicon');
var flash = require('connect-flash');
var logger = require('morgan');
var cookieParser = require('cookie-parser');
var bodyParser = require('body-parser');
var session = require('express-session');


var routes = require('./routes/index');
var users = require('./routes/users');
var profile = require('./routes/profile');

var app = express();


// view engine setup
app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'ejs');

// uncomment after placing your favicon in /public
//app.use(favicon(path.join(__dirname, 'public', 'favicon.ico')));

app.use(logger('dev'));

//Security shyts

app.use(helmet());
app.use(helmet.xssFilter({ setOnOldIE: true }));
app.use(helmet.frameguard('deny'));
app.use(helmet.hsts({maxAge: 7776000000, includeSubdomains: true}));
app.use(helmet.hidePoweredBy());
app.use(helmet.ieNoOpen());
app.use(helmet.noSniff());
app.use(helmet.noCache());

// rest of USE
app.use(logger('dev'));
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({ extended: false }));
app.use(cookieParser());
app.use(session({secret: 'anystringoftext', saveUninitialized: true, resave: true, httpOnly: true, secure: true}));
app.use(csrf()); // Security, has to be after cookie and session.
app.use(flash());
app.use(express.static(path.join(__dirname, 'public')));
app.use('/', routes);
app.use('/users', users);
app.use('/profile', profile);


// catch 404 and forward to error handler

app.use(function (req, res, next) {
  res.cookie('XSRF-TOKEN', req.csrfToken());
  res.locals.csrftoken = req.csrfToken();
  next();
})

//app.use(function(req, res, next) {
//  var err = new Error('Not Found');
//  err.status = 404;
//  next(err);
//});

// error handlers

// development error handler
// will print stacktrace
if (app.get('env') === 'development') {
  app.use(function(err, req, res, next) {
    res.status(err.status || 500);
    res.render('error', {
      message: err.message,
      error: err
    });
  });
}

// production error handler
// no stacktraces leaked to user
app.use(function(err, req, res, next) {
  res.status(err.status || 500);
  res.render('error', {
    message: err.message,
    error: {}
  });
});


module.exports = app;

我将csrf放在session和cookie解析器之后。

index.js

/* GET home page. */
router.get('/', function(req, res, next) {
  res.render('index', { title: 'some title',message: '' });
});

router.post('/',function(req,res){
// Where I have a bunch of mysql queries to check passwords and usernames where as if they succeed they get:
res.redirect('profile');
// Else:
res.redirect('/');
 });

无论我输入正确或错误的用户名和密码,提交表单后我都会得到同样的错误提示:
invalid csrf token

403

ForbiddenError: invalid csrf token

同时我想补充一点,我已经使用Node工作了大约两周,所以可能还有很多东西需要学习。

你的路由设置是在 csurf 中间件之前还是之后?如果您展示完整的代码将更有助于解决问题... - James
我猜我可以打印整个app.js部分。完成! - Drwk
有点儿傻的问题,但你肯定将令牌绑定到表单了吗?我在你的示例中没有看到这种情况。 - James
3个回答
12

{{csrfToken}} 不是 EJS 的语法结构,因此它不会被展开,很可能会直接发送到服务器。

下面的写法应该更好:

<input type="hidden" name="_csrf" value="<%= csrfToken %>">

中间件设置了 csrftoken,但是使用的是小写的 't',而模板却期望一个大写的 'T':
res.locals.csrftoken = req.csrfToken(); // change to `res.locals.csrfToken`

您还生成了两个不同的令牌,这可能不是您想要的。将令牌存储在变量中并重复使用:

app.use(function (req, res, next) {
  var token = req.csrfToken();
  res.cookie('XSRF-TOKEN', token);
  res.locals.csrfToken = token;
  next();
});

最后,你可能需要将中间件移到路由声明之前,否则它不会被调用:

app.use(function (req, res, next) {
  var token = req.csrfToken();
  res.cookie('XSRF-TOKEN', token);
  res.locals.csrfToken = token;
  next();
});
app.use('/', routes);
app.use('/users', users);
app.use('/profile', profile);
我会尝试并回报! - Drwk
没有错误,一切正常!我将继续研究有关令牌传递的详细信息等。然而,我向你致敬并感谢你! - Drwk
为什么你说他生成了两次令牌?他只创建了一个令牌,并分别将其赋值两次。var token = req.csrfToken(); res.cookie('XSRF-TOKEN', token); res.locals.csrfToken = token; - Andrea Scarafoni
1
@AndreaScarafoni 如果您查看原始问题中的代码,您会发现它调用了 req.csrfToken() 两次。我发布的代码(您正在引用)是该问题的可能解决方案。 - robertklep
抱歉 @robertklep - Andrea Scarafoni
1
@AndreaScarafoni 不用担心 :D 我编辑了我的答案,因为它并不是很清楚我想让代码成为问题的解决方案。 - robertklep
2

我的Express版本是6.14.4。最重要的事情是您必须保持行的顺序。 App.js

var cookieParser = require('cookie-parser');
var csrf = require('csurf');
var bodyParser = require('body-parser');

//order of bellow lins is very important
app.use(bodyParser.urlencoded({ extended: false }))
app.use(cookieParser())
app.use(csrf({ cookie: true }))

routes/index.js

var express = require('express');
var router = express.Router();

router.get('/user/signup', function(req, res, next){
  console.log("csruf: "+req.csrfToken());
  res.render('user/signup', { csrfToken: req.csrfToken() });
});

router.post('/postuser', function(req, res, next){
 //res.render('/');
 res.redirect('/');
});

查看文件

 <form action="/postuser"  method="POST">
            <div class="form-group">
                <label for="email"> E-Mail</label>
                <input type="text" id="email" name="email" class="form-control">
            </div>
            <div class="form-group">
                <label for="password">Password</label>
                <input type="password" id="password" name="password" class="form-control">
            </div>
            <input type="hidden" name="_csrf" value="{{csrfToken}}">
            <button type="submit" class="btn btn-primary">Sign Up</button>
   </form>
0

我之前遇到了这个问题,因为我没有包含以下中间件。在加上后问题得到了解决。

app.use(express.urlencoded({ extended: true }));
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接