node.js - 以 express 形式提交表单时 CSRF token 不起作用-6ren

node.js - 以 express 形式提交表单时 CSRF token 不起作用

转载作者：搜寻专家更新时间：2023-10-31 22:36:41

24

4

我正在尝试让表单在我的 Express 应用程序中工作。我有一个将 csrf token req.session._csrf 传递给 res.locals.csrf_token 的中间件函数，因此 View 可以使用它。现在我正尝试在我的 View 中使用局部变量，并且我从我的 session 中间件中收到一个禁止的错误。

这是我的表单代码——我使用 handlebars 作为我的模板引擎:

  <form method='post' action='/api/entries' enctype='multipart/form-data' >
    <input type='hidden' name='_csrf' value={{csrf_token}} />
    <input class='foo' type='text' />
    <input class='bar' type='text' />
    <button id='submit' type='submit'> SUBMIT
  </form>

我试过使用和不使用双花括号来引用 csrf_token 变量，但都不起作用。关于我做错了什么的任何想法？ Error: Forbidden 发生在我用于发布到/api/entries 的路由函数甚至被调用之前。所以我很确定问题是我在引用 csrf token 时做错了..

*编辑:*关于“req.session._csrf 已弃用，改用 req.csrfToken()”登录到控制台，我做了:

grep -r '_csrf' .

在我的应用程序目录中。这是输出..除了 View 之外，我似乎没有在任何地方引用它，我隐藏的 CSRF 字段被命名为“_csrf”..

./node_modules/express/node_modules/connect/lib/middleware/csrf.js:    var secret = req.session._csrfSecret;
./node_modules/express/node_modules/connect/lib/middleware/csrf.js:      req.session._csrfSecret = secret;
./node_modules/express/node_modules/connect/lib/middleware/csrf.js:      Object.defineProperty(req.session, '_csrf', {
./node_modules/express/node_modules/connect/lib/middleware/csrf.js:          console.warn('req.session._csrf is deprecated, use req.csrfToken() instead');
./node_modules/express/node_modules/connect/lib/middleware/csrf.js:  return (req.body && req.body._csrf)
./node_modules/express/node_modules/connect/lib/middleware/csrf.js:    || (req.query && req.query._csrf)
./v/home.hbs:    <input type='hidden' name='_csrf' value={{csrf_token}} />
./v/show.hbs:  <input type='hidden'  name='_csrf' value={{csrf_token}} />

这是我在尝试 POST 到/api/entries 端点时得到的整个错误堆栈(我之前愚蠢地忽略了这一点，但我正在使用 connect-redis 作为 session 中间件):

Error: Forbidden
    at Object.exports.error (appFolder/node_modules/express/node_modules/connect/lib/utils.js:63:13)
    at createToken (appFolder/node_modules/express/node_modules/connect/lib/middleware/csrf.js:82:55)
    at Object.handle (appFolder/node_modules/express/node_modules/connect/lib/middleware/csrf.js:48:24)
    at next (appFolder/node_modules/express/node_modules/connect/lib/proto.js:193:15)
    at next (appFolder/node_modules/express/node_modules/connect/lib/middleware/session.js:318:9)
    at appFolder/node_modules/express/node_modules/connect/lib/middleware/session.js:342:9
    at appFolder/node_modules/connect-redis/lib/connect-redis.js:101:14
    at try_callback (appFolder/node_modules/redis/index.js:580:9)
    at RedisClient.return_reply (appFolder/node_modules/redis/index.js:670:13)
    at ReplyParser.<anonymous> (appFolder/node_modules/redis/index.js:312:14)

edit 2: connect-redis.js 中的错误是一个函数试图通过 session ID 获取当前 session 但失败了。不知道为什么会这样，我的 connect-redis 设置看起来是正确的。这让我很痛苦

最佳答案

编辑:如果您不需要文件上传，请不要使用multipart/form-data enctype。切换到默认 enctype 将允许 express.csrf() 解析 _csrf token 。

为了使用 multipart/form-data enctype 解析表单，您需要在应用配置中使用多部分解析器，或自行处理文件上传。建议避免使用包含的 express.bodyParser()，而是在您期望文件上传的路径上使用类似 busboy 或 formidable 的东西, 以防止 exploit .

如果你走这条路，你的 _csrf 字段将不再被 express.csrf() 捕获，因为在请求通过之前不会解析表单主体那个中间件。将表单操作设置为 '/api/entries?_csrf={{csrf_token}}' 以解决此问题。

var fs = require('fs');
var async = require('async');
var express = require('express');
var formidable = require('formidable');
var app = express();

app.use(express.urlencoded())
  .use(express.json())
  .use(express.cookieParser())
  .use(express.session())
  .use(express.csrf())

app.get('/upload', function(req, res) {
  // File uploads ignored.
  res.render('upload', {_csrf:req.csrfToken()});
});

app.post('/upload', function(req, res) {
  // Explicitly handle uploads
  var form = new formidable.IncomingForm();
  form.uploadDir = 'temp';

  var count = 0;
  var maxAllowed = 10;

  form.onPart = function(part) {
    if (!part.filename) return form.handlePart(part);

    count++;

    // Ignore any more files.
    if (count > maxAllowed) return part.resume();

    form.handlePart(part);
  };

  form.parse(req, function(err, fields, files) {
    // Process the files. If you don't need them, delete them.
    // Note that you should still reap your temp directory on occasion.

    async.map(Object.keys(files), function(key, cb) {
      fs.unlink(files[key].path, cb);
    }, function(err) {
      res.end();
    });
   });
});

关于node.js - 以 express 形式提交表单时 CSRF token 不起作用，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/20484649/

24

4

0

文章推荐： javascript - 如何在网页上找到合适的位置进行点击？

文章推荐： node.js - 如何在本地检查 socket.io 连接？

文章推荐： node.js - 如何在 sails.js 中获取当前域地址

python 形式
这是一个新手理论问题 - 我刚刚开始使用 Python 并研究 Django 和 orm。问题:如果我开发我的对象并通过额外的开发修改基础对象结构、继承等 - Django 的 ORM 解决方案会自动
Javascript 形式 - 根据选择不同的电子邮件
我正在使用带有服务器端处理器的 JavaScript 表单，并且我希望能够让表单根据下拉列表转到不同的电子邮件。我已经根据其他表格尽了最大努力，但似乎无法通过电子邮件。我已在电子邮件地址的选项标签下添
Haskell Monadic 形式
一个简单的问题:给定定义，(来自 Haskell SOE) do x — el; el\ ...; en => el »= \x — do e2\ ...; en 和: do let d
Angular react 形式
我是 Angular 5 的新手。我目前正在研究 Angular Reactive 表单。我有一个下面的 JSON 结构，我需要在从 FORM 获取值后发回 REST API。 JSON 结构: {
Angular react 形式
我是 Angular 5 的新手。我目前正在研究 Angular Reactive 表单。我有一个下面的 JSON 结构，我需要在从 FORM 获取值后发回 REST API。 JSON 结构: {
Haskell - 形式 A -> A -> ... -> A 的所有函数
我有一个类型(称之为 A)，我想创建一个 A -> A、A -> A -> A、A -> A -> A -> ... 等类型的函数的类型类.这不起作用: {-# LANGUAGE FlexibleIn
Java线程正在重复 Swing 形式
我正在使用 java 线程同时管理多个 (3) 程序。1 用于 Java swing 表单(绘制 UI 以进行输入)，1 用于在系统托盘上设置图标(从 UI 获取输入后立即启动)，1 用于处理输入并将
css - 形式:垂直居中
在当前的元素中，我在表单中遇到了一个问题。表单中标签的字体大小可能大于默认值。如果我把它举起来，那么右边的输入必须垂直居中。我查看了 Bootstrap 和 Foundation，但都没有解决这个问
html - 组元素？形式
为了好玩，我使用了一段从 friend 那里得到的代码，并尝试创建一个包含用户名和密码的登录字段，但我很难获得单词旁边的字段。 username 这个词和你输入的框之间有很大的差距。密码也是如此。这
Angular 形式 - 访问模板中的嵌套控件
我的表单中有一个嵌套的控制组，我想访问它们的表单状态值(如原始和有效)以动态显示验证错误。是这样动态构建的 controlMap['password'] = this.password; contr
Angular 重置 react 形式
发送后我试图重置我的表单，但只有值设置为空。 component.html {{note.value?.length || 0}}/10
php - 将输入添加到 Stripe 形式
我正在尝试自定义 Stripe 结帐表单，但我不知道如何添加输入。我想添加“电话号码”和“姓名”以创建费用和客户。你知道我该怎么做吗？这是我应该自定义的代码。最佳答案您将无法使用
html - 带表格的 Angular 形式
所以我有这个需求，我想以表格的形式提交一个由五个记录组成的表单。这就是它的样子表: 这是对应的代码: Section Q.No Question
Angular react 形式 - 在模糊时验证但在键入时更新模型
我有一个使用 react 形式和输入文本的情况。我需要: 当用户输入时，根据输入的内容建议一个列表(我使用的是 ngx bootstrap typeahead)；仅当用户失去输入焦点时才验证输入字
Angular 强类型 react 形式
我希望重构我的 Angular 项目中的大量组件，以具有强类型的 FormGroups、FormArrays 和 FormControls。我只是在寻找一种实现强类型 react 形式的好方法。任何
php - 如何更改错误类(yii2 形式)
我有事件表格: 'horizontal', 'fieldConfig' => [ 'template' => "{input}\n{hint}\n{error}",
angular - 在新选项选择错误时使用多项选择的 react 形式
是否有关于如何实现多选和响应式表单的示例？我正在尝试在 multiselect-dropdown 上设置所选项目(从数据库中检索)，它会更新显示的项目( View )，但会引发以下错误: core.
javascript - 按钮打破 react 形式
我想在表单中添加按钮以动态添加输入。但是我发现，如果我在表单中添加了一个仅记录到控制台的按钮(并且当我尝试添加输入时)，它将记录日志，然后表单中断。我的Electron应用程序的前端窗口崩溃(不退出但
javascript - 具有隔离范围的指令内的 Angular 形式
我有一个这样的表格此表单位于指令内: angular.module('crowdcoreApp').directive('investorForm',function(){
javascript - 对话框中的 Angular 形式
我在 angularjs Controller 中调用的 $mdDialog 中有一个表单，如下所示: actions-controller.js function callForm() {

首页

博学

6Ren·AI

商城

node.js - 以 express 形式提交表单时 CSRF token 不起作用