지역 사회
배우다
도구 라이브러리
AI 도구
여가
찾다
한국어
> 웹 프론트엔드 > JS 튜토리얼 > 실용적인 Nodejs npm 패키지 공유: koa-csrf

실용적인 Nodejs npm 패키지 공유: koa-csrf

青灯夜游
풀어 주다: 2021-04-28 08:52:13
앞으로
2804명이 탐색했습니다.

이 기사에서는 실용적인 Nodejs npm 패키지---koa-csrf를 공유합니다. 도움이 필요한 친구들이 모두 참고할 수 있기를 바랍니다.

실용적인 Nodejs npm 패키지 공유: koa-csrf

koa-csrf은 csrf 공격을 방지하는 데 사용되는 koa 미들웨어입니다.

물론 여기서는 CSRF가 무엇인지, 이를 방지하는 방법에 대해 자세히 설명하지 않겠습니다. 관심 있는 분들은 understanding-csrf를 읽어보세요. egg는 csrf 솔루션을 처리합니다.

먼저 간단한 예를 살펴보겠습니다. 

const router = require('koa-router')();
const CSRF = require('koa-csrf');
const csrfMD = new CSRF({
  invalidSessionSecretMessage: 'Invalid session secret',
  invalidTokenMessage: 'Invalid CSRF token',
  invalidTokenStatusCode: 403,
});

router
  .get('/',csrfMD,async (ctx, next) => {
    ctx.cookies.set('cid','1234', cookieSet);
    // 下发csrf token
    await ctx.render('index', {
      title: 'EJS !',
      csrf: ctx.csrf
    });
  })
  .post('/post', csrfMD ,async (ctx, next) => {
    console.log(ctx.method);
    ctx.session.email = ctx.request.body.email;
    ctx.session.name = ctx.request.body.name;
    ctx.redirect('/');
  })

module.exports = router;
로그인 후 복사

작업 흐름에 대한 간단한 이해:

클라이언트 요청 페이지:

  • 서버는 사용자의 현재 세션에 대한 비밀 값을 생성하고 이를 세션에 저장합니다. 비밀을 기반으로 하는 csrf 토큰, ctx._csrf에 저장
  • csrf 토큰을 클라이언트에 보냅니다
  • 게시 요청을 보낼 때와 같은 사용자 쓰기 작업:

서버는 클라이언트가 전달한 csrf 토큰을 얻습니다. 클라이언트;
  • 서버는 현재 세션에서 csrf 토큰을 얻습니다. 비밀 값을 찾습니다.
  • 서버는 받은 csrf 토큰을 확인하기 위해 비밀 값을 사용합니다.
koa-csrf

koa-csrf의 토큰 생성 및 확인 로직은 모두 이

csrf

패키지에 있습니다. 

const csrf = require('csrf');

class CSRF {
  constructor(opts = {}) {
    // opts配置对象、并且有提供默认配置
    // 允许自定义配置对象进行覆盖
    this.opts = Object.assign(
      {
        // 使 koa 抛出的错误信息内容,默认值为:'Invalid CSRF token'。
        // 它可以是一个接收 ctx 作为参数的函数,函数最后返回错误信息内容。
        invalidTokenMessage: 'Invalid CSRF token',
        // 验证失败时的响应状态码,默认值为:403(Forbidden)
        // 跟 invalidTokenMessage 参数一样,它也会被传递给 ctx.throw,用于抛出错误和拒绝请求。
        invalidTokenStatusCode: 403,
        // 排除的请求方法,默认值为:['GET', 'HEAD', 'OPTIONS']。
        excludedMethods: ['GET', 'HEAD', 'OPTIONS'],
        // 是否禁止通过查询字符串传递 _csrf 校验 token,默认值为 false
        // 如果校验 token 出现在 URL 中,则可能会通过 Referer 泄露,应尽量把 Token 放在表单中,把敏感操作由 GET 改为 POST。
        disableQuery: false
      },
      opts
    );

    // 生成token generation/verification instance
    this.tokens = csrf(opts);
    // 早期很多这样的中间件写法、对接koa中间件
    return this.middleware.bind(this);
  }

  // koa中间件
  middleware(ctx, next) {
    // __defineGetter__ API已经不推荐使用
    // 在ctx上挂载csrf属性。
    // 当读取ctx.csrf会执行该回调
    ctx.__defineGetter__('csrf', () => {
      // 如果已经存在直接返回、避免多次生成
      if (ctx._csrf) {
        return ctx._csrf;
      }
      // csrf依赖于koa session
      if (!ctx.session) {
        return null;
      }

      // 生成一个secret存储在ctx.session.secret
      if (!ctx.session.secret) {
        ctx.session.secret = this.tokens.secretSync();
      }
      // 根据上述的secret生成csrf toke存到ctx._csrf
      // 一般非框架本身属性,都建议_xx表示私有
      ctx._csrf = this.tokens.create(ctx.session.secret);
      // 返回
      return ctx._csrf;
    });

    // 挂栽ctx.response.csrf属性
    ctx.response.__defineGetter__('csrf', () => ctx.csrf);

    // 如果是请求方法黑名单直接不处理
    if (this.opts.excludedMethods.indexOf(ctx.method) !== -1) {
      return next();
    }

    if (!ctx.session.secret) {
      ctx.session.secret = this.tokens.secretSync();
    }

    // 从ctx.request.body取出客户端传递过来的_csrf token
    // 因此依赖于koa-bodyparser类库
    const bodyToken =
      ctx.request.body && typeof ctx.request.body._csrf === 'string'
        ? ctx.request.body._csrf
        : false;

    // 除了从body获取token
    // 支持从ctx.query._csrf即get方法查询字符串
    // 支持从请求头获取 'csrf-token'、'xsrf-token'、'x-csrf-token'、'x-xsrf-token'
    const token =
      bodyToken ||
      (!this.opts.disableQuery && ctx.query && ctx.query._csrf) ||
      ctx.get('csrf-token') ||
      ctx.get('xsrf-token') ||
      ctx.get('x-csrf-token') ||
      ctx.get('x-xsrf-token');

      // 如果获取失败、根据配置对象的信息、抛出异常
    if (!token) {
      return ctx.throw(
        this.opts.invalidTokenStatusCode,
        typeof this.opts.invalidTokenMessage === 'function'
          ? this.opts.invalidTokenMessage(ctx)
          : this.opts.invalidTokenMessage
      );
    }

    // 校验token失败
    if (!this.tokens.verify(ctx.session.secret, token)) {
      return ctx.throw(
        this.opts.invalidTokenStatusCode,
        typeof this.opts.invalidTokenMessage === 'function'
          ? this.opts.invalidTokenMessage(ctx)
          : this.opts.invalidTokenMessage
      );
    }
    // 校验成功
    return next();
  }
}

module.exports = CSRF;
로그인 후 복사
다음 호에서는 더 많은 관련 로직을 처리하는 csrf 라이브러리에 대해 살펴보겠습니다.

오늘은 여기까지입니다. 다음에 뵙겠습니다.

ps: node에도 관심이 있으시다면 제 공식 계정인 xyz 프로그래밍 다이어리를 팔로우해주세요.

관련 추천: "

nodejs 튜토리얼

"

위 내용은 실용적인 Nodejs npm 패키지 공유: koa-csrf의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

관련 라벨:
node.js
원천:juejin.cn
이전 기사:자바스크립트 특권 메소드의 사용은 무엇입니까? 다음 기사:Angular의 구성요소 간 통신을 위한 여러 방법에 대한 자세한 설명
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
저자별 최신 기사
최신 이슈
여러 경로에 선언된 작업자 풀이 임계값을 고려하지 않고 여전히 CPU 사용량을 유지할 수 있습니까? CPU 집약적인 작업을 처리하기 위해 작업자 풀이 있는 node.js 시스템을 찾고 있지만 여러 경로에서의 CPU 사용량에 대해 약간 혼란스럽습니다. 시나리오는 ...
에서 2024-04-06 19:54:23
0
1
444
Axios 및 Node.js를 사용하여 PokeAPI에서 특정 통계(Stats)를 가져오는 데 문제가 있습니다. 문제가 있습니다. PokemonAPI를 사용하려고 하는데 공격, HP, 속도 통계에 액세스하려고 하면 모든 포켓몬에 대해 정의되지 않은 것으로 표시됩니다! API...
에서 2024-04-06 18:46:35
0
1
464
MERN 스택 검색 상자 및 확인란에 대한 정규식 필터 MERN 스택이 학습을 통해 함께 작동하는 방식을 이해하려고 노력하고 있으며 bezcoder의 다음 튜토리얼을 따르고 있습니다. Node.js/Express/Mo...
에서 2024-04-06 14:53:12
0
1
425
Node.js: SQL 쿼리 결과를 배열에 저장할 수 없습니다. SQL 쿼리 결과를 배열로 푸시하려고 합니다. 그러나 작동하지 않는 것 같습니다. 온라인에서 해결책을 찾을 수 없습니다. 누구든지 이 문제를 해결하는 데 도움을 ...
에서 2024-04-06 14:14:46
0
1
373
npx create-react-app 명령에 오류가 있습니다. 어떻게 해결합니까? 'npxcreate-react-app' 명령을 사용하여 새 React 앱을 만들려고 했지만 제대로 작동하지 않는 것 같습니다. 최근에 이 문제를 겪은 사람이 있나...
에서 2024-04-05 14:42:18
0
1
3511
관련 주제
더>
인기 추천
인기 튜토리얼
더>
관련 튜토리얼
인기 추천
최신 강좌
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿