个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
25
4
我已在 Node.js Express 应用程序上安装了 csurf 包。 token 以表单正确显示(看起来),name="_csrf" 且值等于使用 req.csrfToken() 设置的某个哈希值。但我总是收到一个错误,说 token 无效。这是我的一些代码:
var express = require('express')
var app = express()
var nunjucks = require('nunjucks')
var bodyParser = require('body-parser')
var session = require('express-session')
var service = require('./service')
var csrf = require('csurf')
app.set('view engine', 'html')
nunjucks.configure('views', {
autoescape: true,
express: app
})
app.set('trust proxy', 1)
app.use(session({
secret: 'Blue Dragon',
resave: false,
saveUninitialized: true
}))
app.use(csrf({ cookie: false }))
app.use(function (err, req, res, next) {
if (err.code !== 'EBADCSRFTOKEN') return next(err)
res.status(403)
res.send('session has expired or form tampered with')
})
和:
var express = require('express')
var app = module.exports = express()
var nunjucks = require('nunjucks')
var service = require('../../service')
var csrf = require('csurf')
var bodyParser = require('body-parser')
nunjucks.configure('views', {
autoescape: true,
express: app
})
var csrfProtection = csrf({ cookie: true })
var parseForm = bodyParser.urlencoded({ extended: false })
app.get('/getnoun/:id', function (req, res) {
req.models.noun.find({ id: req.params.id }, function (err, noun) {
if (err) {
throw err
service.log('Critical', err.message)
}
res.render('noun', { nouns: noun })
})
})
app.get('/addnoun', function (req, res) {
res.render('addnoun', { csrfToken: req.csrfToken() })
})
//app.post('/savenoun', function (req, res) { // gives same problem both ways
app.post('/savenoun', parseForm, csrfProtection, function (req, res) {
var noun = new req.models.noun({
lemma : req.body.lemma,
gloss : req.body.gloss,
sentence : req.body.sentence,
gender : req.body.gender,
roman : req.body.roman,
img : req.body.img,
level : req.body.level
})
noun.save(function (err) {
if (err) {
throw err
service.log('Critical', err.message)
}
})
res.render('home')
})
在 html 中:(我查看了源代码以确保在隐藏输入中放入了值)
<form action="/savenoun" method="post">
<input type="text" name="lemma" placeholder="lemma"><br>
<input type="text" name="gloss" placeholder="gloss"><br>
<input type="text" name="roman" placeholder="roman"><br>
<input type="text" name="sentence" placeholder="sentence"><br>
<input type="text" name="gender" placeholder="gender"><br>
<input type="text" name="img" placeholder="image"><br>
<input type="text" name="level" placeholder="level"><br>
<input type="hidden" name="_csrf" value="{{ csrfToken }}">
<button type="submit" class="btn btn-skyblue">Save</button>
</form>
为什么 csrf token 没有得到正确验证?
最佳答案
使用 csurf npm 包中的以下代码。
var cookieParser = require('cookie-parser')
var csrf = require('csurf')
var bodyParser = require('body-parser')
var express = require('express')
// setup route middlewares
var csrfProtection = csrf({ cookie: true })
var parseForm = bodyParser.urlencoded({ extended: false })
// create express app
var app = express()
// parse cookies
// we need this because "cookie" is true in csrfProtection
app.use(cookieParser())
app.get('/', function(req, res) {
res.send('Hello World !!! ')
});
app.get('/form', csrfProtection, function (req, res) {
// pass the csrfToken to the view
res.send({ csrfToken: req.csrfToken() })
})
app.post('/process', parseForm, csrfProtection, function (req, res) {
res.send('data is being processed')
})
// error handler
app.use(function (err, req, res, next) {
if (err.code !== 'EBADCSRFTOKEN') return next(err)
// handle CSRF token errors here
res.status(403)
res.send('form tampered with')
})
var port = 3000;
app.listen(port);
console.log('Server is listening at: ', port);
请求示例
var request = require("request");
var options = { method: 'GET',
url: 'http://localhost:3000/form',
headers:
{ 'cache-control': 'no-cache',
Connection: 'keep-alive',
'accept-encoding': 'gzip, deflate',
cookie: '_csrf=uQmzsYUSlBObB62SJIC_z7tt',
Host: 'localhost:3000',
'Postman-Token': 'b25b248a-319c-4429-be73-b8f0d1d08efc,3768fe7b-4d1f-4486-a40d-107609f97258',
'Cache-Control': 'no-cache',
Accept: '*/*',
'User-Agent': 'PostmanRuntime/7.13.0' } };
request(options, function (error, response, body) {
if (error) throw new Error(error);
console.log(body);
});
和
var request = require("request");
var options = { method: 'POST',
url: 'http://localhost:3000/process',
headers:
{ 'cache-control': 'no-cache',
Connection: 'keep-alive',
'content-length': '',
'accept-encoding': 'gzip, deflate',
cookie: '_csrf=uQmzsYUSlBObB62SJIC_z7tt',
Host: 'localhost:3000',
'Postman-Token': '2c3d2ee3-8678-4cef-a926-48866083112f,016ab945-a9fb-4fa9-95a7-e62f934414bb',
'Cache-Control': 'no-cache',
Accept: '*/*',
'User-Agent': 'PostmanRuntime/7.13.0',
'CSRF-Token': '0zMVtG9B-OEI4ZD_9meo9EiWpPkOfngwRWkU' } };
request(options, function (error, response, body) {
if (error) throw new Error(error);
console.log(body);
});
关于javascript - Node js csurf token 始终无效,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41763654/
25
4
0
我有一个接受以下参数的函数: int setvalue(void (*)(void *)); 为了满足参数:void (*)(void *),我创建了这样一个函数: static void *
我有以下代码: typedef void VOID; int f(void); int g(VOID); 在 C 中编译得很好(在 Fedora 10 上使用 gcc 4.3.2)。与 C++ 编译的
这个问题已经有答案了: Is f(void) deprecated in modern C and C++? [duplicate] (6 个回答) 已关闭 7 年前。 B.A.T.M.A.N./A.
我在 ASP.NET Core 3.1 项目上有以下 Identity Server 4 配置: services .AddIdentityServer(y => { y.Events.R
我们有一个 O365 租户,一切都是开箱即用的。租户放置在德国云中,而不是全局 (office.de) 中。我们还开发了一个 Office 插件,使用 OAuth 2.0 授权访问共享点。首先,我们向
我有一个如下所示的路由 routes.MapRoute( name: "Default", url: "{controller}/{action}/{i
我正在尝试使用 OAuth2.0 访问 google 文档。我已经从 Google API 控制台获取了客户端 ID 和 key 。但是当我运行这段代码时,我收到了异常。如果我遗漏了什么,有人可以建议
此代码有效: let mut b: Vec = Vec::with_capacity(a.len()); for val in a.iter() { b.push(val); } 此代码不起作
使用 client_credintials 授权类型请求 EWS oauth2 v2.0 的访问 token 时出现错误。 https://login.microsoftonline.com/tena
我通过 Java 应用程序使用 Google 电子表格时遇到了问题。我创建了应用程序,该应用程序运行了 1 年多,没有任何问题,我什至在 Create Spreadsheet using Google
如何创建 匹配所有无效 Base64 字符的正则表达式?我在堆栈上找到了 [^a-zA-Z0-9+/=\n\r].*$ 但是当我尝试时我得到了带有 - 符号的结果字符串.我根本不知道正则表达式,任何人
我从 Gitlab CI/CD Pipelines 获得错误信息:yaml invalid。问题是由 .gitlab-ci.yml 脚本的第五行引起的: - 'ssh deployer@gita
我有 3 个数据源,设置如下: @Configuration @Component public class DataSourceConfig { @Bean("foo") @Conf
你好,我想用bulkCreate ex 插入数据: [ { "typeId": 5, "devEui": "0094E796CBFCFEF9", "application_name": "Pressu
UIApplicationExitsOnSuspend 不会强制我的应用程序退出。我已经清理过目标、删除了应用程序、重建并重新安装了很多次。 我确实需要退出我的应用程序。 最佳答案 您是否链接了 SD
在 iPhone 配置门户上,显示我的 iPhone 团队配置配置文件无效。有一个“由 Xcode 管理”文本。 “续订”按钮被禁用。 我该如何解决这个问题?谢谢 最佳答案 使用 Xcode 3.2.
好的,所以今天我用我们的“实时”数据库中的新信息更新了我的数据库……从那时起,我的一个表格就出现了问题。如果您需要任何代码,请告诉我,我将对其进行编辑并发布所需的代码... 我有一个报告表格,其中有一
我有一个结构体,其中有一个元素表示为 void (*func)(); 我知道 void 指针通常用于函数指针,但我似乎无法定义该函数。我不断收到取消引用指向不完整类型的指针。我用谷歌搜索了一下但没有结
我正在尝试使用 Coldfusion 9 从 ning 网络获取凭证,所以首先这是测试 api 的 curl 语法: curl -k https://external.ningapis.com/xn/
这个问题已经有答案了: Does C have references? (2 个回答) 已关闭 4 年前。 我正在学习 C 语言引用,这是我的代码: #include int main(void)
我是一名优秀的程序员,十分优秀!