目錄
分享一個實用Nodejs npm套件:koa-csrf
node.js
本篇文章跟大家分享一個實用Nodejs npm套件---koa-csrf。有一定的參考價值,有需要的朋友可以參考一下,希望對大家有幫助。
koa-csrf是用來防止csrf攻擊的koa中介軟體。
當然關於什麼是csrf、以及如何預防這裡就不贅述了,有興趣的可以閱讀understanding-csrf。 egg處理csrf方案。
首先我們來看個簡單範例:
const router = require('koa-router')();
const CSRF = require('koa-csrf');
const csrfMD = new CSRF({
invalidSessionSecretMessage: 'Invalid session secret',
invalidTokenMessage: 'Invalid CSRF token',
invalidTokenStatusCode: 403,
});
router
.get('/',csrfMD,async (ctx, next) => {
ctx.cookies.set('cid','1234', cookieSet);
// 下发csrf token
await ctx.render('index', {
title: 'EJS !',
csrf: ctx.csrf
});
})
.post('/post', csrfMD ,async (ctx, next) => {
console.log(ctx.method);
ctx.session.email = ctx.request.body.email;
ctx.session.name = ctx.request.body.name;
ctx.redirect('/');
})
module.exports = router;登入後複製
簡單理解其工作流程:
客戶端請求頁面:
- ##服務端為用戶目前session 產生secret 值,並存到session 裡;根據secret產生csrf token,存到ctx._csrf;下發csrf token到客戶端
- 服務端取得客戶端傳遞過來的csrf token;服務端從目前session找到secret 值;伺服器用secret與接收的csrf token進行校驗;
koa-csrf
koa-csrf中關於token的建立、校驗邏輯都是在這個csrf套件裡。
const csrf = require('csrf');
class CSRF {
constructor(opts = {}) {
// opts配置对象、并且有提供默认配置
// 允许自定义配置对象进行覆盖
this.opts = Object.assign(
{
// 使 koa 抛出的错误信息内容,默认值为:'Invalid CSRF token'。
// 它可以是一个接收 ctx 作为参数的函数,函数最后返回错误信息内容。
invalidTokenMessage: 'Invalid CSRF token',
// 验证失败时的响应状态码,默认值为:403(Forbidden)
// 跟 invalidTokenMessage 参数一样,它也会被传递给 ctx.throw,用于抛出错误和拒绝请求。
invalidTokenStatusCode: 403,
// 排除的请求方法,默认值为:['GET', 'HEAD', 'OPTIONS']。
excludedMethods: ['GET', 'HEAD', 'OPTIONS'],
// 是否禁止通过查询字符串传递 _csrf 校验 token,默认值为 false
// 如果校验 token 出现在 URL 中,则可能会通过 Referer 泄露,应尽量把 Token 放在表单中,把敏感操作由 GET 改为 POST。
disableQuery: false
},
opts
);
// 生成token generation/verification instance
this.tokens = csrf(opts);
// 早期很多这样的中间件写法、对接koa中间件
return this.middleware.bind(this);
}
// koa中间件
middleware(ctx, next) {
// __defineGetter__ API已经不推荐使用
// 在ctx上挂载csrf属性。
// 当读取ctx.csrf会执行该回调
ctx.__defineGetter__('csrf', () => {
// 如果已经存在直接返回、避免多次生成
if (ctx._csrf) {
return ctx._csrf;
}
// csrf依赖于koa session
if (!ctx.session) {
return null;
}
// 生成一个secret存储在ctx.session.secret
if (!ctx.session.secret) {
ctx.session.secret = this.tokens.secretSync();
}
// 根据上述的secret生成csrf toke存到ctx._csrf
// 一般非框架本身属性,都建议_xx表示私有
ctx._csrf = this.tokens.create(ctx.session.secret);
// 返回
return ctx._csrf;
});
// 挂栽ctx.response.csrf属性
ctx.response.__defineGetter__('csrf', () => ctx.csrf);
// 如果是请求方法黑名单直接不处理
if (this.opts.excludedMethods.indexOf(ctx.method) !== -1) {
return next();
}
if (!ctx.session.secret) {
ctx.session.secret = this.tokens.secretSync();
}
// 从ctx.request.body取出客户端传递过来的_csrf token
// 因此依赖于koa-bodyparser类库
const bodyToken =
ctx.request.body && typeof ctx.request.body._csrf === 'string'
? ctx.request.body._csrf
: false;
// 除了从body获取token
// 支持从ctx.query._csrf即get方法查询字符串
// 支持从请求头获取 'csrf-token'、'xsrf-token'、'x-csrf-token'、'x-xsrf-token'
const token =
bodyToken ||
(!this.opts.disableQuery && ctx.query && ctx.query._csrf) ||
ctx.get('csrf-token') ||
ctx.get('xsrf-token') ||
ctx.get('x-csrf-token') ||
ctx.get('x-xsrf-token');
// 如果获取失败、根据配置对象的信息、抛出异常
if (!token) {
return ctx.throw(
this.opts.invalidTokenStatusCode,
typeof this.opts.invalidTokenMessage === 'function'
? this.opts.invalidTokenMessage(ctx)
: this.opts.invalidTokenMessage
);
}
// 校验token失败
if (!this.tokens.verify(ctx.session.secret, token)) {
return ctx.throw(
this.opts.invalidTokenStatusCode,
typeof this.opts.invalidTokenMessage === 'function'
? this.opts.invalidTokenMessage(ctx)
: this.opts.invalidTokenMessage
);
}
// 校验成功
return next();
}
}
module.exports = CSRF;登入後複製
nodejs 教學》
以上是分享一個實用Nodejs npm套件:koa-csrf的詳細內容。更多資訊請關注PHP中文網其他相關文章!
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
Video Face Swap
使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!
熱門文章
<🎜>:種植花園 - 完整的突變指南
3 週前
By DDD
<🎜>:泡泡膠模擬器無窮大 - 如何獲取和使用皇家鑰匙
3 週前
By 尊渡假赌尊渡假赌尊渡假赌
如何修復KB5055612無法在Windows 10中安裝?
3 週前
By DDD
北端:融合系統,解釋
3 週前
By 尊渡假赌尊渡假赌尊渡假赌
Mandragora:巫婆樹的耳語 - 如何解鎖抓鉤
3 週前
By 尊渡假赌尊渡假赌尊渡假赌
熱工具
記事本++7.3.1
好用且免費的程式碼編輯器
SublimeText3漢化版
中文版,非常好用
禪工作室 13.0.1
強大的PHP整合開發環境
Dreamweaver CS6
視覺化網頁開發工具
SublimeText3 Mac版
神級程式碼編輯軟體(SublimeText3)
一文聊聊Node中的記憶體控制
Apr 26, 2023 pm 05:37 PM
基於無阻塞、事件驅動建立的Node服務,具有記憶體消耗低的優點,非常適合處理海量的網路請求。在海量請求的前提下,就需要考慮「記憶體控制」的相關問題了。 1. V8的垃圾回收機制與記憶體限制 Js由垃圾回收機
聊聊如何選擇一個最好的Node.js Docker映像?
Dec 13, 2022 pm 08:00 PM
選擇一個Node的Docker映像看起來像是小事,但是映像的大小和潛在漏洞可能會對你的CI/CD流程和安全造成重大的影響。那我們要如何選擇一個最好Node.js Docker映像呢?
Node.js 19正式發布,聊聊它的 6 大功能!
Nov 16, 2022 pm 08:34 PM
Node 19已正式發布,以下這篇文章就來帶大家詳解了解Node.js 19的 6 大特性,希望對大家有幫助!
深入聊聊Node中的File模組
Apr 24, 2023 pm 05:49 PM
文件模組是對底層文件操作的封裝,例如文件讀寫/打開關閉/刪除添加等等文件模組最大的特點就是所有的方法都提供的**同步**和**異步**兩個版本,具有sync 字尾的方法都是同步方法,沒有的都是異
一起聊聊Node中的事件循環
Apr 11, 2023 pm 07:08 PM
事件循環是 Node.js 的基本組成部分,透過確保主執行緒不被阻塞來實現非同步編程,了解事件循環對建立高效應用程式至關重要。以下這篇文章就來帶大家深入了解Node中的事件循環 ,希望對大家有幫助!
聊聊用pkg將Node.js專案打包為執行檔的方法
Dec 02, 2022 pm 09:06 PM
如何用pkg打包nodejs可執行檔?以下這篇文章跟大家介紹一下使用pkg將Node專案打包為執行檔的方法,希望對大家有幫助!
node無法用npm指令怎麼辦
Feb 08, 2023 am 10:09 AM
node無法用npm指令是因為沒有正確配置環境變量,其解決方法是:1、開啟“系統屬性”;2、找到“環境變數”->“系統變數”,然後編輯環境變數;3、找到nodejs所在的資料夾;4、點選「確定」即可。
