Fatal编程技术网
  • javascript/
  • Javascript 当我';I’我正试图发送;邮政「;对SailsJS服务器的请求

Javascript 当我';I’我正试图发送;邮政「;对SailsJS服务器的请求

javascript ajax sails.js

Javascript 当我';I’我正试图发送;邮政「;对SailsJS服务器的请求,javascript,ajax,cross-domain,sails.js,csrf,Javascript,Ajax,Cross Domain,Sails.js,Csrf,我有一个sailsJS服务器。我尝试从另一个域上的客户端发送post请求 我从/csrfToken发送了_csrf,但一次又一次地收到403个csrf不匹配 客户端代码如下所示: $.ajax({ url: 'http://myserverdomain.ru/csrfToken' success: (response) -> $.ajax({

我有一个sailsJS服务器。我尝试从另一个域上的客户端发送post请求

我从/csrfToken发送了_csrf,但一次又一次地收到403个csrf不匹配

客户端代码如下所示:

    $.ajax({
                  url: 'http://myserverdomain.ru/csrfToken'
                  success: (response) ->
                      $.ajax({
                          url: 'http://myserverdomain.ru/session/create'
                          type: "POST"
                          crossDomain: true
                          xhrFields: {
                              withCredentials: true
                          }
                          data: {_csrf: response._csrf, email: 'mail@mail', password: 'password'}
                          error: () ->
                              console.log 'error'
                          success: ( resp ) ->
                              console.log resp
                      })
            })

CSRF mismatch
服务器的配置:

module.exports.csrf = {
    grantTokenViaAjax: true,
    origin: 'http://myclientdomain.ru'
};


module.exports.cors = {

  allRoutes: true,

  origin: 'http://myclientdomain.ru',

  credentials: true,

  methods: 'GET, POST, PUT, DELETE',

  headers: 'content-type'
回答如下:

    $.ajax({
                  url: 'http://myserverdomain.ru/csrfToken'
                  success: (response) ->
                      $.ajax({
                          url: 'http://myserverdomain.ru/session/create'
                          type: "POST"
                          crossDomain: true
                          xhrFields: {
                              withCredentials: true
                          }
                          data: {_csrf: response._csrf, email: 'mail@mail', password: 'password'}
                          error: () ->
                              console.log 'error'
                          success: ( resp ) ->
                              console.log resp
                      })
            })

CSRF mismatch
概述:

Remote Address:ip.ip.ip.1:1010
Request URL:http://myserverdomain.ru/session/create
Request Method:POST
Status Code:403 Forbidden
请求的标题:

Accept:*/*
Accept-Encoding:gzip, deflate
Accept-Language:ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Content-Length:95
Content-Type:application/x-www-form-urlencoded; charset=UTF-8
Cookie:sails.sid=s%3A_HBoGJvI9N_-kH3Bj2LBrIrayWAb_k4z.N9P%2F%2Bt%2FDWCFAuK1MvBNjyYO1ntmp5m8a5Te0IM%2Ftn7s; BCSI-CS-c82c2a7dcc10e8b5=2
Host:myserverdomain.ru
Origin:http://myserverdomain.ru
Proxy-Connection:keep-alive
Referer:http://myserverdomain.ru/
User-Agent:Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.130 Safari/537.36
表格数据:

_csrf:ljGDMpSr-_O1ktMJ-zHEJfWaKPygXwNSSjcU
email:mail@mail
password:password
请帮帮我

我对SailsJs不熟悉,但在花了几分钟编写它们的文档之后,您所做的似乎是正确的,但我会尝试几件事情

  • 尝试在标题中设置_csrf
  • 模块.exports.csrf
    中的
    原点更改为*

    
module.exports.csrf={
格兰特:是的,
来源:'*'
}
    • 您必须在标题中发送它

    添加X-CSRF-Token:

    $.ajax({
url: 'http://myserverdomain.ru/csrfToken'
success: (response) ->
  $.ajax({
      url: 'http://myserverdomain.ru/session/create'
      type: "POST"
      crossDomain: true
      beforeSend: function(xhr, settings){
          xhr.setRequestHeader('X-CSRF-Token', '_PUT_YOUR_CSRF_HERE_');
      }
      xhrFields: {
          withCredentials: true
      }
      data: {_csrf: response._csrf, email: 'mail@mail', password: 'password'}
      error: () ->
          console.log 'error'
      success: ( resp ) ->
          console.log resp
  })
})
    在config/crfs.js中,添加以下行和路线:

    module.exports.csrf = {
  grantTokenViaAjax: true
  , routesDisabled: '*Route URLs*',
  'origin': '*'
}
    谢谢你的回答,但没用。响应:无法加载XMLHttpRequest。访问控制允许标头不允许请求标头字段X-CSRF-Token。我应该更改module.exports.cors中的“heders”吗?我添加了一个标题
    headers:'content type,X-CSRF-Token'
    ,但是服务器响应403 CSRF与范围不匹配,顺便说一句,我没有在CSRF.js中使用Grantokenviajax和origin,cors.js也是默认值。你能用默认的csrf.js和cors.js试试吗?在cors.js中注释所有内容。在csrf.js中,我只有module.exports.csrf=true;。试一下,只是为了快速测试一下。并确保重新启动应用程序。我甚至没有X-CSRF-Token在标题中。我也不使用/csrfToken调用。我使用EJS模板,所以当我必须使用csrf时,我喜欢:数据:{uCSRF:,电子邮件:'mail@mail,password:'password'},因此_csrf将包含在呈现的html中。代码“”在跨域ajax=)中不起作用。只有/csrfToken可以返回csrf配置中允许的另一个域的csrf。我可以看到您正在请求头中发送cookie。该cookie是否来自对/csrfToken的请求?如果没有,您可以尝试从/csrfToken响应获取set cookie头,并将其与/session/create请求一起发送回cookie头。您可以使用xhr.getResponseHeader(“set cookie”)获取set cookie头,并使用xhr.setRequestHeader(“cookie”、“将您的cookie从_RESPONSE_放在这里”)返回;我不推荐这种方法。将CSRF原点设置为通配符将导致rouge站点能够检索和发布CSRF令牌。与CSRF的目的背道而驰。