个人中心
文章发布
退出
作者热门文章
- Java 双重比较
- java - 比较器与 Apache BeanComparator
- Objective-C 完成 block 导致额外的方法调用?
- database - RESTful URI 是否应该公开数据库主键?
26
4
我正在尝试在我的项目中实现 csrf 保护,但我无法使其与 jQuery Ajax 一起使用。 (虽然它适用于普通的帖子请求)
如果我在发送表单之前使用 chrome 开发工具篡改 token ,我仍然会看到“正在处理数据”文本,而不是 invalid csrf token 错误。
应用程序.js
var express = require('express');
var path = require('path');
var favicon = require('serve-favicon');
var logger = require('morgan');
var cookieParser = require('cookie-parser');
var csrf = require('csurf');
var bodyParser = require('body-parser');
var router = express.Router();
var app = express();
// view engine setup
app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'jade');
//app.set('strict routing', true);
app.set('view options', {layout: false});
app.use(logger('dev'));
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({extended: false}));
app.use(cookieParser());
var csrfProtection = csrf({ cookie: true });
var parseForm = bodyParser.urlencoded({ extended: false });
app.use(express.static(path.join(__dirname, 'public')));
app.get('/form', csrfProtection, function(req, res) {
// pass the csrfToken to the view
res.render('send', { csrfToken: req.csrfToken() });
});
app.post('/form', parseForm, csrfProtection, function(req, res) {
res.send('data is being processed');
});
// development error handler
// will print stacktrace
if (app.get('env') === 'development') {
app.use(function (err, req, res, next) {
res.status(err.status || 500);
res.render('error', {
message: err.message,
error: err
});
});
}
// production error handler
// no stacktraces leaked to user
app.use(function (err, req, res, next) {
res.status(err.status || 500);
res.render('error', {
message: err.message,
error: {}
});
});
module.exports = app;
发送.jade
html
head
meta(name='_csrf', content='#{csrfToken}')
body
form(action='/form', method='POST')
| Favorite color:
input(type='text', class="favori", name='favoriteColor')
button(type='submit') Submit
script(src="javascripts/frontend/jquery/jquery-3.0.0-alpha1.js")
script(src="javascripts/test.js")
测试.js
$(document).ready(function () {
$.ajaxSetup({
headers: {'X-CSRF-Token': $('meta[name="_csrf"]').attr('content')}
});
$('button').click(function (e) {
e.preventDefault();
var text = $('.favori').val();
alert(text);
$.post(
"/form",
{
text: text
}, function (data) {
console.log(data);
});
});
});
最佳答案
在负载消息中发送 CSRF token :
$('button').click(function (e) {
e.preventDefault();
var text = $('.favori').val();
alert(text);
$.post(
"/form",
{
text: text,
_csrf : $('meta[name="_csrf"]').attr('content')
}, function (data) {
console.log(data);
});
});
为了方便您的工作,我认为您可以创建一个 Jquery 插件来执行此操作,如下所示:
(function( $ ) {
$.postCSRF = function(to, message, callback) {
message._csrf = $('meta[name="_csrf"]').attr('content');
$.post(to, message, callback);
};
}( jQuery ));
// Usage example:
$.postCSRF('/form',{text:'hi'},function(res) {
console.log(res);
});
关于node.js - 带有 jQuery Ajax 的 Express.js csrf token ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33628343/
26
4
0
我在数组中有一系列 [timestamp, count] 对,我想使用 jq 计算每个时间戳的累积和。我怎么能那样做? 这里是一个示例数据集: [ [1431047957699, 1], [1
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 这个问题似乎不是关于 a specific programming problem, a softwar
我在数组中有一系列 [timestamp, count] 对,我想使用 jq 计算每个时间戳的累积和。我怎么能那样做? 这里是一个示例数据集: [ [1431047957699, 1], [1
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 这个问题似乎不是关于 a specific programming problem, a softwar
我很好奇是否有一种干净的方法可以将行号添加到 jq 的输出,同时仍然保留输出的颜色。我已经尝试从 jq 到 cat -n 的管道,但不幸的是,这删除了在遍历 JSON 树时有很大帮助的着色。 最佳答案
我有一些看起来像json数据: { "p": { "d": { "a" : { "r": "foo", "g": 1 },
我正在使用 jq 在大文件中搜索特定结果。我不关心与此特定条件匹配的重复条目,并且处理整个文件需要一段时间。我想做的是打印有关第一场比赛的一些详细信息,然后在文件上终止 jq 命令以节省时间。 IE。
给定以下 JSON 文件 foo.js(为清楚起见已删除): {"a":{"b":[{"x":{"x1":1},"y":{"y1":5}},{"x":{"x1":1},"y":{"y1":6}}]}}
我需要从一些 JSON 中一次删除多个键(使用 jq ),并且我正在尝试了解是否有比每次调用 map 和 del 更好的方法。这是我的输入数据: test.json [ { "label"
我正在使用 jq 来解析日志数据,偶尔日志包含格式错误的内容(无效的 json),当发生这种情况时,jq 会在此时中止处理。 有没有办法让 jq 继续处理它可以做的事情,同时通过 stderr 报告问
我无法理解以下示例中显示的 jq(版本 1.6)更新运算符的行为。 为什么示例 1 返回更新后的对象,而示例 2 和 3 返回空对象或错误结果? 例子之间的区别仅在于将字符串转换为数字的函数的调用顺序
给定 [3,4] [5,2] 我想制作: [5,2] [3,4] 我试过了,但失败了: echo '[3,4] [5,2]' | jq 'sort_by(.[1])' jq: error (at :1
我有一个要用 JQ 处理的 JSON 文件。它在另一个对象中有一个对象数组,带有一个我想用来填充新数组的键。 在我的实际用例中,它嵌套在许多其他的绒毛中,还有更多的数组,但将其作为此类事物的一个更简单
我有这个 jq筛选: some_command | jq -r '.elements[] | select(.state=="LIVE" and .group == "some_text" and .
我无法理解以下示例中显示的 jq(版本 1.6)更新运算符的行为。 为什么示例 1 返回更新后的对象,而示例 2 和 3 返回空对象或错误结果? 例子之间的区别仅在于将字符串转换为数字的函数的调用顺序
给定 [3,4] [5,2] 我想制作: [5,2] [3,4] 我试过了,但失败了: echo '[3,4] [5,2]' | jq 'sort_by(.[1])' jq: error (at :1
我刚刚发现 jq 并且非常喜欢它。一件事我发现自己做了很多事情,比如: result=$(jq --raw-output '.some | .filters // ""') if [[ $result
我一直在尝试使用 chocoletey 安装 jq 但是,当我运行以下命令时,它失败了。 choco install jq 阅读日志文件,我看到它指向 Powershell 脚本指向一个不再存在的 U
json block 数组中的数千个 json block 之一如下所示 - { "id": 4409976, "name": "MKLIU", "version": "1.0", "
json block 数组中的数千个 json block 之一如下所示 - { "id": 4409976, "name": "MKLIU", "version": "1.0", "
我是一名优秀的程序员,十分优秀!