javascript - Node Express 和 csurf - 403(禁止)无效的 csrf token-6ren

javascript - Node Express 和 csurf - 403(禁止)无效的 csrf token

转载作者：搜寻专家更新时间：2023-11-01 00:23:18

27

4

通过谷歌搜索浏览并尝试了我在这里和其他地方可以找到的所有内容……但我就是无法克服这个问题。我正在使用 Node、Express、EJS，并尝试在使用 jQuery ajax 发布的表单上使用 csurf。无论我如何配置 csurf，我都会收到“403(禁止)无效的 csrf token ”

我已经尝试在 app.js 和 Controller 中进行全局配置。这是我在 app.js 中尝试过的:

var express = require('express');
var session  = require('express-session');
var path = require('path');
var favicon = require('serve-favicon');
var logger = require('morgan');
var cookieParser = require('cookie-parser');
var bodyParser = require('body-parser');
var mysql = require('mysql');
var flash = require("connect-flash");
var csrf = require("csurf");

var app = express();

// view engine setup
app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'ejs');

app.use(logger('dev'));
app.use(cookieParser());
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({extended: false}));
app.use(session({
    secret: 'somethingsecret',
    resave: true,
    saveUninitialized: true,
    httpOnly: true,
    secure: false
}));
app.use(csrf());
app.use(function (req, res, next) {
    var token = req.csrfToken();
    res.cookie('XSRF-TOKEN', token);
    res.locals.csrfToken = token;
    console.log("csrf token = " + token);
    next();
});
app.use(flash());
app.use(express.static(path.join(__dirname, 'public')));

app.use(function (err, req, res, next) {
    if (err.code !== 'EBADCSRFTOKEN') return next(err);

    // handle CSRF token errors here
    res.status(403);
    res.send('form tampered with');
})

//routing
var routes = require('./routes/index');
var users = require('./routes/users');
var register = require('./routes/register');

app.use('/', routes);
app.use('/users', users);
app.use('/register', register);

...使用这个 Controller :

var express = require("express");
var router = express.Router();
var bodyParser = require("body-parser");
var userSvc = require("../service/userservice");

var jsonParser = bodyParser.json();

router.get("/", function(req, res, next) {
    console.log("token = " + token);
    userSvc.getAllPublicRoles(function(data) {
        res.render("register", {
            title: "Register a new account",
            roles: data
        });
    });
});

router.post("/new", jsonParser, function(req, res, next) {
    userSvc.addUser(req.body, function(result) {
        console.log("New user id = " + result.insertId);
        res.send('{"success" : "Updated Successfully", "status" : 200}');
    });
});

...以及这个 View :

形式:

<form id="registerForm" class="form-horizontal" method="post">
    <input type="hidden" name="_csrf" value="<%= csrfToken %>" />

ajax调用:

        $.ajax({
            url: "/register/new",
            type: "POST",
            dataType: "json",
            data: user
        }).done(function(data) {
            if (data) {
                console.log("Success! = " + data);
            }
        }).fail(function(data) {
            console.log("Something went wrong: " + data.responseText);
        });

然后我只是尝试在 Controller 中做所有事情，从 app.js 中删除所有引用、调用等，并使用与上面相同的表单和 ajax 调用:

var express = require("express");
var router = express.Router();
var bodyParser = require("body-parser");
var csrf = require("csurf");
var userSvc = require("../service/userservice");

var csrfProtection = csrf();
var jsonParser = bodyParser.json();

router.get("/", csrfProtection, function(req, res, next) {
    var token = req.csrfToken();
    console.log("token = " + token);
    userSvc.getAllPublicRoles(function(data) {
        res.render("register", {
            title: "Register a new account",
            csrfToken: token,
            roles: data
        });
    });
});

router.post("/new", jsonParser, csrfProtection, function(req, res, next) {
    userSvc.addUser(req.body, function(result) {
        console.log("New user id = " + result.insertId);
        res.send('{"success" : "Updated Successfully", "status" : 200}');
    });
});

不知道从这里去哪里。我在业余时间使用 node 大约两周了，所以请原谅我的无知。

最佳答案

如果您想将 token 存储在 cookie 而不是 session 中，让 csurf 为您创建 cookie，例如

// Store the token in a cookie called '_csrf'
app.use(csrf({cookie: true));

// Make the token available to all views
app.use(function (req, res, next){
    res.locals._csrf = req.csrfToken();
    next();
});

然后，当您通过 POST 数据或作为自定义请求 header (例如“xsrf-token”)使用 AJAX 进行调用时，您需要确保 token 可用。

此刻，您正在向表单提供 token ，而不是实际请求(使用 AJAX 发送)。

例如，您可以在 AJAX 设置中呈现 token :

$.ajaxSetup({
   headers: {"X-CSRF-Token": "{{csrfToken}}" }
});

关于javascript - Node Express 和 csurf - 403(禁止)无效的 csrf token ，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/33849252/

27

4

0

文章推荐： node.js - Express.js ERR_TOO_MANY_REDIRECTS 错误

文章推荐：作为参数传递的 Swift `rethrows` 函数导致编译器错误

文章推荐： ios - 应用扩展 Swift : get url from any app without javascript

文章推荐： node.js - 使用 iisnode 时保护 CookieSession

c++ - 编译错误。定义不匹配。无效(*)(无效*)
我有一个接受以下参数的函数: int setvalue(void (*)(void *)); 为了满足参数:void (*)(void *)，我创建了这样一个函数: static void *
c++ - 无效、无效、C 和 C++
我有以下代码: typedef void VOID; int f(void); int g(VOID); 在 C 中编译得很好(在 Fedora 10 上使用 gcc 4.3.2)。与 C++ 编译的
c - 无效(*foo)(无效): meaning of latest (void)
这个问题已经有答案了: Is f(void) deprecated in modern C and C++? [duplicate] (6 个回答) 已关闭 7 年前。 B.A.T.M.A.N./A.
asp.net-core - 无效 token - 观众 'empty' 无效
我在 ASP.NET Core 3.1 项目上有以下 Identity Server 4 配置: services .AddIdentityServer(y => { y.Events.R
azure - 委托(delegate) token 无效。指定的国家云 ID (1) 无效
我们有一个 O365 租户，一切都是开箱即用的。租户放置在德国云中，而不是全局 (office.de) 中。我们还开发了一个 Office 插件，使用 OAuth 2.0 授权访问共享点。首先，我们向
c# - 错误请求 - 无效 URL - HTTP 错误 400。请求 URL 无效
我有一个如下所示的路由 routes.MapRoute( name: "Default", url: "{controller}/{action}/{i
java - token 无效 - token 无效 : Invalid user for the two legged OAuth
我正在尝试使用 OAuth2.0 访问 google 文档。我已经从 Google API 控制台获取了客户端 ID 和 key 。但是当我运行这段代码时，我收到了异常。如果我遗漏了什么，有人可以建议
rust - 为什么创建const指针的集合对 `for val in a.iter()`无效，而对 `a.iter().map(|val| val)`无效？
此代码有效: let mut b: Vec = Vec::with_capacity(a.len()); for val in a.iter() { b.push(val); } 此代码不起作
azure - 输入参数 'scope' 无效。范围 https ://outlook. office365.com/EWS.AccessAsUser.All 无效
使用 client_credintials 授权类型请求 EWS oauth2 v2.0 的访问 token 时出现错误。 https://login.microsoftonline.com/tena
java - token 无效 - 无效 token : Cannot parse referred token string: Invalid gaia_data. Base64 token 上的 AuthSubToken 原型(prototype)
我通过 Java 应用程序使用 Google 电子表格时遇到了问题。我创建了应用程序，该应用程序运行了 1 年多，没有任何问题，我什至在 Create Spreadsheet using Google
无效 Base64 字符的正则表达式
如何创建匹配所有无效 Base64 字符的正则表达式？我在堆栈上找到了 [^a-zA-Z0-9+/=\n\r].*$ 但是当我尝试时我得到了带有 - 符号的结果字符串.我根本不知道正则表达式，任何人
YAML 无效 - 可能是引号问题
我从 Gitlab CI/CD Pipelines 获得错误信息:yaml invalid。问题是由 .gitlab-ci.yml 脚本的第五行引起的: - 'ssh deployer@gita
spring - @Qualifier 无效
我有 3 个数据源，设置如下: @Configuration @Component public class DataSourceConfig { @Bean("foo") @Conf
mysql - updateOnDuplicate 无效
你好，我想用bulkCreate ex 插入数据: [ { "typeId": 5, "devEui": "0094E796CBFCFEF9", "application_name": "Pressu
iPhone UIApplicationExitsOnSuspend 无效
UIApplicationExitsOnSuspend 不会强制我的应用程序退出。我已经清理过目标、删除了应用程序、重建并重新安装了很多次。我确实需要退出我的应用程序。最佳答案您是否链接了 SD
iPhone 团队配置文件 - 无效
在 iPhone 配置门户上，显示我的 iPhone 团队配置配置文件无效。有一个“由 Xcode 管理”文本。 “续订”按钮被禁用。我该如何解决这个问题？谢谢最佳答案使用 Xcode 3.2.
symfony2 CSRF 无效
好的，所以今天我用我们的“实时”数据库中的新信息更新了我的数据库……从那时起，我的一个表格就出现了问题。如果您需要任何代码，请告诉我，我将对其进行编辑并发布所需的代码... 我有一个报告表格，其中有一
有人可以解释这是什么意思吗？无效(*func)()；
我有一个结构体，其中有一个元素表示为 void (*func)(); 我知道 void 指针通常用于函数指针，但我似乎无法定义该函数。我不断收到取消引用指向不完整类型的指针。我用谷歌搜索了一下但没有结
Coldfusion，oauth_signature 无效
我正在尝试使用 Coldfusion 9 从 ning 网络获取凭证，所以首先这是测试 api 的 curl 语法: curl -k https://external.ningapis.com/xn/
c - 为什么此引用不起作用/无效？
这个问题已经有答案了: Does C have references? (2 个回答) 已关闭 4 年前。我正在学习 C 语言引用，这是我的代码: #include int main(void)

首页

博学

6Ren·AI

商城

javascript - Node Express 和 csurf - 403(禁止)无效的 csrf token