码迷,mamicode.com
首页 > 其他好文 > 详细

Express 3 implement CSRF protection

时间:2014-10-18 12:45:06      阅读:175      评论:0      收藏:0      [点我收藏+]

标签:style   http   color   io   os   ar   使用   for   sp   

CSRF(Cross Site Request Forgery)是常見但不顯眼的攻擊方式,本篇不介紹如何使用CSRF攻擊

只有介紹如何透過Express去實作CSRF protection

要實作CSRF protection要開啟一些功能(session, csrf, cookieParser),詳細內容如下


...app.use(express.cookieParser(‘your secret here‘));app.use(express.session());app.use(express.csrf());app.use(app.router);...

透過這樣的設定Express就會幫你產生csrf的token,確保每次Request沒有被偽造

但是只有這樣的宣告並沒有用,還需要把值帶入表單中

而要帶入表單中,需要先把值存在res.locals裡面,這樣在view裡面才可以使用

因此要加入下列的程式碼:

// global controllerapp.all(‘/*‘, function(req, res, next) {
    res.locals.csrf = req.session ? req.csrfToken() : ""; // CSRF
    next();});

透過上面的程式碼,讓每一頁進入前都會先執行裡面的設定,也就是說把res.locals加入csrf這個變數

res.locals.csrf的值來至於 req.csrfToken() (由Express負責產生

接下來在表單裡面加入一個hidden的值,名稱是「_csrf」完整HTML如下

<input type="hidden" name="_csrf" value="<%= csrf %>">

其中<%= csrf %>是因為我用EJS,所以使用<%%>輸出變數,csrf則是在res.locals.csrf的值

透過這樣的設定 Express 就會幫你做好保護了

如果害怕的話,可以開啟開發者工具把_csrf的值修改過再送出表單

就會看到 Forbidden 的訊息


Express 3 implement CSRF protection

标签:style   http   color   io   os   ar   使用   for   sp   

原文地址:http://my.oschina.net/gwind/blog/334892

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!