node.js - Csurf 无效的 csrf token Express/nodejs-6ren

node.js - Csurf 无效的 csrf token Express/nodejs

转载作者：搜寻专家更新时间：2023-10-31 22:50:10

29

4

我有这种奇怪的行为我在第一次加载页面时遇到错误，基本上是 'EBADCSRFTOKEN' 我一直在努力弄清楚为什么它只在第一次加载页面时发生加载，如果我点击刷新并获得一个新 token ，一切正常。

同样的情况发生在我删除 csurf cookie 时，点击刷新并获得一个新 token ，但第一次总是失败我不确定为什么预期的字符串和 token 不匹配。

一段代码(我正在使用 MEANJS 堆栈):

app.use(busboy());
app.use(bodyParser.urlencoded({ extended: false }));
app.use(bodyParser.json({limit: '50mb'}));
app.enable('jsonp callback');

var cp = cookieParser;
app.use(cp());

var mStore = new mongoStore({
    db: db.connection.db,
    collection: config.sessionCollection
});

app.use(session({
    secret: config.sessionSecret,
    store: mStore,
    cookie: {httpOnly: false},
    key:config.cookieKey,
}));

app.use(csrf());

//setting up a middleware
var middlewareFiles = [
    'csrf-rule.server.js', 
    'secure-routes.server.js'
];

middlewareFiles.forEach(function(routeSecure){
    require(path.resolve('./app/middleware/'+routeSecure))(app);
});

app.use(function(err, req, res, next) {
    if (!err) return next();
        if(err.code === 'EBADCSRFTOKEN'){
            res.json(484, {data: 'invalid csrf token.'});
        return;
    }
   // Error page
    res.status(500).render('500', {
        error: err.stack
    });
});

中间件:

module.exports = function(app) {
    app.use(function(req, res, next){
        res.cookie('x-xsrf-token', req.csrfToken());
        res.locals.csrftoken = req.csrfToken();
        next();
    });
};

token 的不同值:

Cookie

fgeHcu6v-hgdCMuRjnmE9BYV_QrvrfzwJoeA

req.csrfToken()(在中间件请求中)

fgeHcu6v-hgdCMuRjnmE9BYV_QrvrfzwJoeA

预期(在 csurf 库中)

fgeHcu6v-T9CuTWL8hVGHMtSskeh0yzqaP0k

token (在 csurf 库中)

fgeHcu6v-hgdCMuRjnmE9BYV_QrvrfzwJoeA

似乎 expected 与 token 相似，只是在破折号之后有所不同，有什么想法吗？

更新:

基本上，我按照@shakiba 的建议删除了自定义中间件，让 csurf 库处理它。

我将配置更改为:

app.use(csrf({ cookie: true }));

现在我得到一个名为 _csrf 的 cookie，现在问题有点不同， token 值与库中的 secret token 相同，所以当库 "转换" secret token 是他们不匹配的预期 token 。

这些是一些示例值:

CookieBDir8-6hkdy-_YsXNb305IIx

secret BDir8-6hkdy-_YsXNb305IIx

token BDir8-6hkdy-_YsXNb305IIx

预期BDir8-zbwt4-K_Uv8t1TtmxxctkfcMN1M

最佳答案

我相信你没有正确使用 csurf，csurf 为你设置了 cookie，你不应该自己设置它，它的值与 csrfToken() 值不同。据我从文档和源代码中了解到，csrfToken() 值是使用 csurf 为 cookie 设置的值生成的，因为它们 state减轻 BREACH 攻击。

我制作了更简单的 csurf 版本，它只使用 cookie，对 BREACH 攻击没有做任何事情，因为 BREACH 攻击在我看来是一个独立的问题，应该在独立的模块/库中解决。我会在 github 上分享它，如果您愿意，可以使用它。

关于node.js - Csurf 无效的 csrf token Express/nodejs，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/30738633/

29

4

0

文章推荐： node.js - Nodejs下载多个文件

文章推荐： php - 如何在Drupal 8中使用日期查询实体

文章推荐： PHP/甲骨文 : Time representation

文章推荐： php - 如何通过比较删除特定索引

node.js - Nodejs - 如何在 ubuntu 中卸载旧版本的 nodejs 和安装新版本的 nodejs
我的 React 项目需要更新 nodejs。那么我如何将我的 Node js 重新安装到 Ubuntu 16.04 中的最新版本。我当前的 Node 版本是 node -v v6.0.0 我当前的
debugging - NodeJS - NodeJS 的分步调试器
我正在寻找逐步调试 NodeJS 服务器代码的有效方法。目前我使用了几十个console.log()，这非常困难。完美的工具可以让我检查堆栈中每个变量的值并逐行跟踪我的程序。首选操作系统 = MacO
javascript - NodeJS 不会导入非 NodeJS 文件
我的网站上有以下两个文件: firebase.js gridsome-server.js firebase.js 是一个“常规”javascript 文件，包含以下内容: import firebas
javascript - Nodejs 从 NodeJS 应用程序的不同文件夹执行二进制文件
我有一个nodejs应用程序从文件夹A执行，二进制X也在文件夹A中执行(使用子进程exec)。二进制 X 在文件夹 A 中生成输出文件 O，因此始终从调用位置开始。我需要nodejs应用程序来在仲裁
javascript - NodeJS - 如何编写连接到 NodeJS 服务器并接收广播消息的客户端
我有以下nodeJS服务器，它似乎工作正常。我想编写一个客户端，从服务器接收消息并根据消息调用一些 JS。涉及的步骤是: 用户访问网址http://server.xyz.com:8080/pa no
node.js - Nodejs - Nodejs 中是否存在类似于请求模块的模块？
我想从 Node 服务器进行其余 api 调用。我目前脑子里有请求模块。您是否会建议用于 Nodejs 中生产实践的 REST 调用(get/post)的任何其他最佳模块？问候，公羊最佳答案 R
javascript - 已弃用消息 : "Auto import from ' process' (property) NodeJS. Process.mainModule？ : NodeJS. 模块 NodeJS.Module 'mainModule' 已弃用"
我正在尝试像这样使用 mainModule: const { mainModule } = require('process'); module.exports = path.dirname(main
node.js - NodeJS 0.10.25 (Ubuntu 14.04) 和 NodeJS 4.1 的区别(编译自 NodeJS.org Source)
我现在对那些版本号真的很困惑。我正在计划一个新项目，想知道这两个版本之间有什么区别。这两个版本之间似乎有很大的跳跃，但现在我找不到区别。使用 4.1 版安全吗？感谢您的帮助! 最佳答案跳转到 v
Javascript/Nodejs 在 nodejs 模块的顶层使用 await
我试图找到我的问题的解决方案，但找不到，并且正在寻找一些“最佳实践示例”。我有一个 nodejs express 应用程序，我的函数在文件中拆分。例如我有这个 Controller (oktacont
javascript - 使用没有 nodeJs 的 nodeJS 模块
这看起来像是一个非常简单的问题，但作为一个 JS 初学者，我想知道是否可以在 webextension 中使用 NodeJS 模块(例如我想使用这个:https://github.com/yaronn
javascript - NodeJs 中的级联 require，要求一个文件需要另一个文件 NodeJs
我有一个文件。a.js class A{ constructor(name){ this.name = name; } displayName(){ conso
node.js - 如何从 NodeJS 管道到 NodeJS？
我想做的是这样的: node x.js | node y.js 文件 x.js 只是打印一个字符串: console.log("hi"); 文件 y.js 旨在通过 process.stdin 获取字
node.js - Nodejs 语法突出显示到 Nodejs 中的终端
对于这个新的nodejs debugger I am working on我想对显示的源代码行进行着色。有什么关于 npm 使用的建议吗？有很多语法荧光笔，但使这种情况有点不同的是输出是到终端；它
javascript - 在 nodejs 公用文件夹中公开 nodejs 库
有没有什么方法可以从 ejs View 中引用包含在 node_modules 文件夹中的 Nodejs 库？我正在使用 expressjs 并且我的客户端库由 /public 文件夹提供，如下所示
javascript - 开始使用 NodeJS - 在 nodeJS 中找不到模块
我是 NodeJS 的新手，我正在尝试根据 NodeJS 站点上的指南在 NodeJS 中创建一个服务器。我已经在我的电脑上安装了 NodeJS 并使用以下代码制作了 app.js 文件。 const
angularjs - 从 Nodejs 向 Nodejs 发送请求
我有一个 nodejs-express 服务器 (1) 与 mongodb 通信，还有一个 web 服务器 (2) 在 nodejs-express 和 Angularjs 中。我正在尝试发出 pos
javascript - 将数据从 javascript 文件传递到 Nodejs 服务器 - Nodejs
我一直在解决(firebase 和 nodejs)问题，这是该问题的第四部分，如何在登录到 server.js 后传递数据我已经尝试过this但未能使其正常工作。基本上，我正在尝试将用户idTok
javascript - (不正确的响应 NodeJS + Socket IO)NodeJS 在页面刷新时在套接字上多次写入数据
每次页面刷新时，NodeJS 都会在套接字上多次写入数据。当我刷新页面时，nodejs 服务器写入套接字的计数增加，在多个页面刷新时，写入计数固定为 3。请检查控制台输出是否有此奇怪的响应。请提出同
javascript - 通过从 NodeJS 中执行 PHP 脚本来重新启动 NodeJS
我在尝试更新文件夹并再次部署其内容时遇到问题。我必须使用 NodeJS 并已获得端口 8080 来使用。我尝试创建一个 php 脚本(update.php): 现在我想启动NodeJS脚本进行更新，
node.js - nodejs 多线程 vs nodejs 单线程
我不明白java多线程系统和Nodejs多线程系统在性能和资源共享方面的区别。由于 NodeJS 为您的程序使用事件循环单线程，但在幕后，它将任务分配给不同的线程，如文件读取或数据库查询。所以它使用多

首页

博学

6Ren·AI

商城

node.js - Csurf 无效的 csrf token Express/nodejs