javascript - sails.js 中的某些 URL 可以免除 CSRF 吗？

Question

我正在设置 Stripe 以使用我的 sails.js 服务器，为了使用 Stripe 的 webhook，我需要为我提供给 Stripe 的 URL 禁用 CSRF。

是否可以在 sails.js 中使某些 URL 免于 CSRF POST 要求？我能找到的 CSRF 的唯一配置是全局打开它，并查看 csrf 钩子(Hook) ( https://github.com/balderdashy/sails/blob/master/lib/hooks/csrf/index.js ) 的源代码，看起来如果我尝试提供自定义对象，它就会被全局设置替换无论如何。

谢谢

Answer 1

因此，在进一步阅读问题中链接的 csrf 钩子(Hook)后，我设法解决了这个问题。

从 v0.11.0 开始:

如果您尝试在 csrf.js 配置文件中为对象提供设置， Hook 会简单地用所有设置的“默认打开”覆盖它们。 csrf 对象最终看起来像这样

{
  grantTokenViaAjax: true,
  protectionEnabled: true,
  origin: '-',
  routesDisabled: '-'
}

为了向对象添加路由豁免，您需要在设置完成后进行，所以我在 config/bootstrap.js 中进行了此操作。所以要添加路由“http://yourhost.com/webhooks/testhook/”:

// In bootstrap.js
sails.config.csrf.routesDisabled = "/webhooks/testhook";

如果要添加多个钩子(Hook)，将它们添加到同一个字符串中，以逗号分隔:

// In bootstrap.js
sails.config.csrf.routesDisabled = "/webhooks/testhook,/webhooks/anotherhook";