防止跨站請求偽造(CSRF)
CSRF 是一種攻擊,它迫使終端使用者在他/她當前經過身份驗證的 Web 應用程式上執行不需要的操作。
之所以會發生這種情況,是因為每次向網站發出請求都會傳送 cookie - 即使這些請求來自不同的網站。
我們可以使用 csurf
模組建立 csrf 令牌並驗證它。
例
var express = require('express')
var cookieParser = require('cookie-parser') //for cookie parsing
var csrf = require('csurf') //csrf module
var bodyParser = require('body-parser') //for body parsing
// setup route middlewares
var csrfProtection = csrf({ cookie: true })
var parseForm = bodyParser.urlencoded({ extended: false })
// create express app
var app = express()
// parse cookies
app.use(cookieParser())
app.get('/form', csrfProtection, function(req, res) {
// generate and pass the csrfToken to the view
res.render('send', { csrfToken: req.csrfToken() })
})
app.post('/process', parseForm, csrfProtection, function(req, res) {
res.send('data is being processed')
})
因此,當我們訪問 GET /form
時,它會將 csrf 標記 csrfToken
傳遞給檢視。
現在,在檢視內部,將 csrfToken 值設定為名為 _csrf
的隱藏輸入欄位的值。
例如,對於 handlebar
模板
<form action="/process" method="POST">
<input type="hidden" name="_csrf" value="{{csrfToken}}">
Name: <input type="text" name="name">
<button type="submit">Submit</button>
</form>
例如,對於 jade
模板
form(action="/process" method="post")
input(type="hidden", name="_csrf", value=csrfToken)
span Name:
input(type="text", name="name", required=true)
br
input(type="submit")
例如,對於 ejs
模板
<form action="/process" method="POST">
<input type="hidden" name="_csrf" value="<%= csrfToken %>">
Name: <input type="text" name="name">
<button type="submit">Submit</button>
</form>