目录
分享一个实用Nodejs npm包:koa-csrf
node.js
本篇文章给大家分享一个实用Nodejs npm包---koa-csrf。有一定的参考价值,有需要的朋友可以参考一下,希望对大家有所帮助。
koa-csrf是一个用于防止csrf攻击的koa中间件。
当然关于什么是csrf、以及如何预防这里就不赘述了,有兴趣的可以阅读understanding-csrf。egg处理csrf方案。
首先我们看个简单示例:
const router = require('koa-router')();
const CSRF = require('koa-csrf');
const csrfMD = new CSRF({
invalidSessionSecretMessage: 'Invalid session secret',
invalidTokenMessage: 'Invalid CSRF token',
invalidTokenStatusCode: 403,
});
router
.get('/',csrfMD,async (ctx, next) => {
ctx.cookies.set('cid','1234', cookieSet);
// 下发csrf token
await ctx.render('index', {
title: 'EJS !',
csrf: ctx.csrf
});
})
.post('/post', csrfMD ,async (ctx, next) => {
console.log(ctx.method);
ctx.session.email = ctx.request.body.email;
ctx.session.name = ctx.request.body.name;
ctx.redirect('/');
})
module.exports = router;登录后复制
简单理解其工作流程:
客户端请求页面:
- 服务端为用户当前 session 生成 secret 值,并存到 session 里;
- 根据secret生成csrf token,存到ctx._csrf;
- 下发csrf token到客户端
用户写操作,比如发送post 请求时:
- 服务端获取客户端传递过来的csrf token;
- 服务端从当前 session找到 secret 值;
- 服务器用secret与接收的csrf token进行校验;
koa-csrf
koa-csrf中关于token的创建、校验逻辑都是在这个csrf包里。
const csrf = require('csrf');
class CSRF {
constructor(opts = {}) {
// opts配置对象、并且有提供默认配置
// 允许自定义配置对象进行覆盖
this.opts = Object.assign(
{
// 使 koa 抛出的错误信息内容,默认值为:'Invalid CSRF token'。
// 它可以是一个接收 ctx 作为参数的函数,函数最后返回错误信息内容。
invalidTokenMessage: 'Invalid CSRF token',
// 验证失败时的响应状态码,默认值为:403(Forbidden)
// 跟 invalidTokenMessage 参数一样,它也会被传递给 ctx.throw,用于抛出错误和拒绝请求。
invalidTokenStatusCode: 403,
// 排除的请求方法,默认值为:['GET', 'HEAD', 'OPTIONS']。
excludedMethods: ['GET', 'HEAD', 'OPTIONS'],
// 是否禁止通过查询字符串传递 _csrf 校验 token,默认值为 false
// 如果校验 token 出现在 URL 中,则可能会通过 Referer 泄露,应尽量把 Token 放在表单中,把敏感操作由 GET 改为 POST。
disableQuery: false
},
opts
);
// 生成token generation/verification instance
this.tokens = csrf(opts);
// 早期很多这样的中间件写法、对接koa中间件
return this.middleware.bind(this);
}
// koa中间件
middleware(ctx, next) {
// __defineGetter__ API已经不推荐使用
// 在ctx上挂载csrf属性。
// 当读取ctx.csrf会执行该回调
ctx.__defineGetter__('csrf', () => {
// 如果已经存在直接返回、避免多次生成
if (ctx._csrf) {
return ctx._csrf;
}
// csrf依赖于koa session
if (!ctx.session) {
return null;
}
// 生成一个secret存储在ctx.session.secret
if (!ctx.session.secret) {
ctx.session.secret = this.tokens.secretSync();
}
// 根据上述的secret生成csrf toke存到ctx._csrf
// 一般非框架本身属性,都建议_xx表示私有
ctx._csrf = this.tokens.create(ctx.session.secret);
// 返回
return ctx._csrf;
});
// 挂栽ctx.response.csrf属性
ctx.response.__defineGetter__('csrf', () => ctx.csrf);
// 如果是请求方法黑名单直接不处理
if (this.opts.excludedMethods.indexOf(ctx.method) !== -1) {
return next();
}
if (!ctx.session.secret) {
ctx.session.secret = this.tokens.secretSync();
}
// 从ctx.request.body取出客户端传递过来的_csrf token
// 因此依赖于koa-bodyparser类库
const bodyToken =
ctx.request.body && typeof ctx.request.body._csrf === 'string'
? ctx.request.body._csrf
: false;
// 除了从body获取token
// 支持从ctx.query._csrf即get方法查询字符串
// 支持从请求头获取 'csrf-token'、'xsrf-token'、'x-csrf-token'、'x-xsrf-token'
const token =
bodyToken ||
(!this.opts.disableQuery && ctx.query && ctx.query._csrf) ||
ctx.get('csrf-token') ||
ctx.get('xsrf-token') ||
ctx.get('x-csrf-token') ||
ctx.get('x-xsrf-token');
// 如果获取失败、根据配置对象的信息、抛出异常
if (!token) {
return ctx.throw(
this.opts.invalidTokenStatusCode,
typeof this.opts.invalidTokenMessage === 'function'
? this.opts.invalidTokenMessage(ctx)
: this.opts.invalidTokenMessage
);
}
// 校验token失败
if (!this.tokens.verify(ctx.session.secret, token)) {
return ctx.throw(
this.opts.invalidTokenStatusCode,
typeof this.opts.invalidTokenMessage === 'function'
? this.opts.invalidTokenMessage(ctx)
: this.opts.invalidTokenMessage
);
}
// 校验成功
return next();
}
}
module.exports = CSRF;登录后复制
下一期我们看下csrf库,这个里面处理更多相关逻辑。
好了,今天就到这结束了,下期见。
ps:如果你对node也有兴趣,欢迎关注我公众号:xyz编程日记。
相关推荐:《nodejs 教程》
以上是分享一个实用Nodejs npm包:koa-csrf的详细内容。更多信息请关注PHP中文网其他相关文章!
本站声明
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
Video Face Swap
使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!
热门文章
刺客信条阴影:贝壳谜语解决方案
1 个月前
By DDD
Windows 11 KB5054979中的新功能以及如何解决更新问题
3 周前
By DDD
在哪里可以找到原子中的起重机控制钥匙卡
1 个月前
By DDD
如何修复KB5055523无法在Windows 11中安装?
2 周前
By DDD
Inzoi:如何申请学校和大学
3 周前
By DDD
热工具
记事本++7.3.1
好用且免费的代码编辑器
SublimeText3汉化版
中文版,非常好用
禅工作室 13.0.1
功能强大的PHP集成开发环境
Dreamweaver CS6
视觉化网页开发工具
SublimeText3 Mac版
神级代码编辑软件(SublimeText3)
一文聊聊Node中的内存控制
Apr 26, 2023 pm 05:37 PM
基于无阻塞、事件驱动建立的Node服务,具有内存消耗低的优点,非常适合处理海量的网络请求。在海量请求的前提下,就需要考虑“内存控制”的相关问题了。 1. V8的垃圾回收机制与内存限制 Js由垃圾回收机
聊聊如何选择一个最好的Node.js Docker镜像?
Dec 13, 2022 pm 08:00 PM
选择一个Node的Docker镜像看起来像是一件小事,但是镜像的大小和潜在漏洞可能会对你的CI/CD流程和安全造成重大的影响。那我们如何选择一个最好Node.js Docker镜像呢?
Node.js 19正式发布,聊聊它的 6 大特性!
Nov 16, 2022 pm 08:34 PM
Node 19已正式发布,下面本篇文章就来带大家详解了解一下Node.js 19的 6 大特性,希望对大家有所帮助!
深入聊聊Node中的File模块
Apr 24, 2023 pm 05:49 PM
文件模块是对底层文件操作的封装,例如文件读写/打开关闭/删除添加等等 文件模块最大的特点就是所有的方法都提供的**同步**和**异步**两个版本,具有 sync 后缀的方法都是同步方法,没有的都是异
一起聊聊Node中的事件循环
Apr 11, 2023 pm 07:08 PM
事件循环是 Node.js 的基本组成部分,通过确保主线程不被阻塞来实现异步编程,了解事件循环对构建高效应用程序至关重要。下面本篇文章就来带大家深入了解Node中的事件循环 ,希望对大家有所帮助!
深入了解Node中的Buffer
Apr 25, 2023 pm 07:49 PM
最开始的时候 JS 只在浏览器端运行,对于 Unicode 编码的字符串容易处理,但是对于二进制和非 Unicode 编码的字符串处理困难。并且二进制是计算机最底层的数据格式,视频/音频/程序/网络包
