Node.js SSL/https从标头中删除X-CSRFToken
安装SSL/https密钥后,将丢弃X-CSRFToken。我还设置了http2。以前Https一切正常,但现在我得到403,因为CSRF令牌丢失。找不到解决此特定问题的信息。谢谢你的帮助Node.js SSL/https从标头中删除X-CSRFToken,node.js,ssl,nginx,reverse-proxy,Node.js,Ssl,Nginx,Reverse Proxy,安装SSL/https密钥后,将丢弃X-CSRFToken。我还设置了http2。以前Https一切正常,但现在我得到403,因为CSRF令牌丢失。找不到解决此特定问题的信息。谢谢你的帮助 support server { # Enable HTTP/2 listen 443 ssl http2; listen [::]:443 ssl http2; ssl on; server_name site.io www.site.io; # Use
support
server {
# Enable HTTP/2
listen 443 ssl http2;
listen [::]:443 ssl http2;
ssl on;
server_name site.io www.site.io;
# Use the Let's Encrypt certificates
ssl_certificate /etc/letsencrypt/live/site.io/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/site.io/privkey.pem;
# Include the SSL configuration from cipherli.st
include /etc/nginx/snippets/ssl-params.conf;
add_header Strict-Transport-Security max-age=500;
access_log /home/nodejs/site.io/resuma_io_access.log;
error_log /home/nodejs/site.io/resuma_io_error.log;
root /home/nodejs/site.io/www/dist/client;
location ~ ^/(api|user|auth|socket.io-client|sitemap.xml) {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $http_host;
proxy_set_header X-NginX-Proxy true;
proxy_set_header Upgrade $http_upgrade;
proxy_ssl_session_reuse off;
proxy_redirect off;
proxy_set_header Connection 'upgrade';
proxy_cache_bypass $http_upgrade;
proxy_http_version 1.1;
proxy_pass_header X-CSRFToken;
add_header X-Frame-Options SAMEORIGIN;
sendfile off;
proxy_pass http://nodejs_upstream;
}
}
我对在Nginx SSL/https上运行的Django也有同样的问题 正如布莱恩在上一篇文章中提到的。传递csrftoken的另一种方法是通过参数传递它:
$.ajax({
data: {
somedata: 'somedata',
moredata: 'moredata',
csrfmiddlewaretoken: mytoken
},
其中,csrfmiddlewaretoken表示api用于存储csrftoken的变量名(django中的csrfmiddlewaretoken):
而mytoken是一个初始化的变量
mytoken=jQuery(“[name=csrfmiddlewaretoken]”)。val()代码>
mytoken=getCookie('csrftoken')代码>
当然,这并不能解决SSL的头问题,而是允许POST、PUT和DELETE请求。它还需要通过每个$.ajax调用来添加
csrfmiddlewaretoken
变量通过我上次对stackoverflow的搜索,我找到了问题的真正原因。
在我的例子中,这不是一个标题问题,而是一个cookie问题!CSRFToken不在cookie中
Wtower对2015年5月13日的答复已清楚解释
settings.py中的CSRF\u COOKIE\u HTTPONLY=True
必须删除或设置为False
如果设置为True,客户端JavaScript将无法访问CSRF cookie强>
你能找到解决办法吗?我相信我也有同样的问题。如果你有上述相同的设置,你可能会在其他地方有问题。它对我不起作用,因为X-CSRF令牌是由后端在任何第一次请求时生成和设置的。但由于所有文件都是由nginx提供的,所以在来宾用户的初始页面加载时并没有请求后端。作为一种解决方法,我在初始页面加载时发出一个服务器请求来创建令牌。