Node.js 如何在Express中生成CSRF令牌?
新手。 我正在使用ExpressJS/Node。以下是我的配置资料:Node.js 如何在Express中生成CSRF令牌?,node.js,express,csrf,Node.js,Express,Csrf,新手。 我正在使用ExpressJS/Node。以下是我的配置资料: var express = require('express'), app = express.createServer(), jade=require('jade'); // Configuration app.configure(function(){ app.set('views', __dirname + '/views'); app.use(express.logger()); app.use(express.coo
var express = require('express'),
app = express.createServer(),
jade=require('jade');
// Configuration
app.configure(function(){
app.set('views', __dirname + '/views');
app.use(express.logger());
app.use(express.cookieParser());
app.use(express.session({ secret: "secretive secret" }));
app.set('view engine', 'jade');
app.use(express.bodyParser());
app.use(express.methodOverride());
app.use(require('stylus').middleware({ src: __dirname + '/public' }));
app.use(app.router);
app.use(express.static(__dirname + '/public'));
app.use(express.csrf());
我在Express目录中找到了csrf.js,看到它应该被生成并分配给req.body.\u csrf,但我不确定如何访问它
以下是csrf.js代码
module.exports = function csrf(options) {
var options = options || {}
, value = options.value || defaultValue;
return function(req, res, next){
// generate CSRF token
var token = req.session._csrf || (req.session._csrf = utils.uid(24));
// ignore GET (for now)
if ('GET' == req.method) return next();
// determine value
var val = value(req);
// check
if (val != token) return utils.forbidden(res);
next();
}
};
帮忙?谢谢 将令牌添加到动态帮助程序
app.dynamicHelpers({
token: function(req, res) {
return req.session._csrf;
}
});
在您的翡翠模板中引用它
input(type='hidden', value=token)
来源:自3.x以来,动态助手已从Express中删除
新用法是app.use(express.csrf())代码>,它来自于express4.x中的。,此中间件已被删除。对于Express 4.x,您可以按如下方式执行
var csrf = require('csurf');
app.use(csrf());
啊!!!您需要在会话
和cookieParser
中间件之后注册csrf
中间件
内部路由或Ctrl
res.render('someform', { csrf: req.csrfToken() });
或者你也可以像这样设置一个局部变量
app.use(function(req, res, next){
res.locals.csrf = req.csrfToken();
});
那么
input(type="hidden", name="_csrf", value="#{csrf}")
你完了!!:) 如果您还希望为您的CSRF令牌设置可由前端读取的安全cookie(例如angular),您可以执行以下操作:
app.use csrf()
app.use (req, res, next) ->
res.cookie('XSRF-TOKEN', req.csrfToken(), {secure: true})
next()