egg表单提交csrf验证

最新推荐文章于 2023-10-30 23:34:52 发布
最新推荐文章于 2023-10-30 23:34:52 发布
阅读量7.5k 收藏 3
点赞数 1
分类专栏: eggjs 文章标签: egg csrf 安全认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bocongbo/article/details/97425759
版权

1、egg在进行表单提交时,会验证csrf,以防止网站被攻击。

2、在中间件中设置全局csrf变量,并将csrf存在state中,给前端使用

module.exports = options => {
  return async function adminauth(ctx, next) {
    // 定义全局csrf安全认证变量
    ctx.state.csrf = ctx.csrf;
  }
}

3、前端表单代码,添加隐藏的input,将csrf提交

<form method="post" action="/admin/addRole">
  <input type="hidden" name="_csrf" value="<%= csrf %>" />

  <button type="submit" class="btn btn-default">提交</button>
</form>

4、提交表单,在后台接口打印请求参数,即可看到csrf

5、在含有图片上传的表单中,csrf不可以放在隐藏表单域,需要放到action后

6、csrf配置/取消指定api验证(在支付宝与微信支付后,第三方会异步给服务端POST数据,没有csrf字段)

exports.security = {
  csrf: {
    // 判断是否需要 ignore 的方法,请求上下文 context 作为第一个参数
    ignore: ctx => {
      if (ctx.request.url == '/alipay/alipayNotify' || ctx.request.url == '/weixinpay/weixinpayNotify') {
        return true;
      }
      return false;
    }
  }
};

 

不求甚解bc
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
表单数据的提交与接收;csrf
weixin_45620570的博客
01-24 530
表单数据的提交与接收 如果要提交上传文件,就要加入那行代码。 注意单选框的name值要一致,比如gender=男,gender=女,这样才可以是单选。 get&post请求 在代码中实现,首先,会在urls中,创建三个路径。第一个是渲染提交表单的页面,第二个,第三个分别是get和post请求的路径。 定义渲染的处理器,里面是一个form.html文件,在templetes中再去...
egg基础及项目制作
zhao021130的博客
06-30 865
目录 第一节:egg初始化操作和目录介绍... 2第二节:路由和控制器... 2egg中的控制器(controller)作用:... 2get请求获取参数的两种方式... 2第三节:插件... 3Egg.js安装使用egg-view-nunjucks. 3Egg.js安装使用egg-cors. 5第四节:用户登录状态... 7第五节:中间件... 13第六节:数据持久化... 151.概述、sequelize插件、配置sequelize及对应数据类型... 152.Sequelize创建表... .....
CSRF(1)-----定义,原理和防护-----from表单提交数据
Z_Grant的博客
09-22 2369
文章目录一,定义和原理(1)与XSS不同之处(2)CSRF实现的基础前提(3)????CSRF的危害(4)CSRF的利用条件(5)????为什么会有CSRF二,cookie与CSRF(1)浏览器所持有的cookie分为两种:(2)区别(3)与CSRF的关系三,漏洞利用(1)通过GET请求方式发起(2)只能由GET请求发起? 一,定义和原理 CSRF(Cross Site Request Forgery, 跨...
表单提交最常遇到的坑之csrf验证
little_spice的博客
07-30 2253
一说起laravel的表单提交,如果遇到坑,第一反应就是没有加入csrf,这个是绝大多数新手的必经之路!! 加csrf的方式多种多样,一开始比较复杂,后面越来越简单,可以直接用{{csrf_field()}}或者@csrf(我的版本是laravel5.6更早的版本请用hidden方式,自己查一下吧,记不太清了)。加入的位置是form表单的下面 <form action="" m...
egg学习笔记(4)--安全机制csrf
weixin_34015860的博客
09-18 564
简介 CSRF 攻击:伪造用户请求向网站发起恶意请求。 目录结构 controller //controller/postsafe.js 'use strict'; const Controller = require('egg').Controller; class PostsafeController extends Contr...
eggjs&sequelize使用教程一(表单自动验证
米斯特尔曾的博客
12-04 3248
egg 表单验证
Egg.js中间件进行登录鉴权的核心思路
Always-Learning
11-09 561
无论是在实际项目中还是在面试中,只要涉及到项目的问题,注册登录如何验证的问题,总是面试官的宠儿,这一次让我们来系统性的梳理如何完成一次登录的验证。(注意:项目实现的基础是以Egg.js作为后台实现的) 第一步:配置中间件 在middleware下创建adminAuth.js文件 中间件中需要配置csrf全局变量,让表单post的数据能够正常的到达控制器login.js 通过url模块拿到用户不带请求参数的请求路径 首先判断session中userinfo是否存在,并且username是否存在,两个.
Python库 | zope.testbrowser-3.4.1-py2.5.egg
02-21
3. **表单操作**:测试浏览器可以填充和提交表单,这对于测试用户输入验证和处理逻辑至关重要。 4. **cookies管理**:支持设置、读取和删除cookies,模拟用户登录状态和其他依赖于cookie的功能。 5. **URL重定向...
egg新建一个控制器
qq_43685633的博客
11-14 626
Controller // 1.引入egg的controller类 const Controller = require('egg').Controller // 2.自己定义的controller继承egg的controller class FruitsController extends Controller{ // 处理用户请求 // egg要求async函数 async index(){ // 获取上下文对象 .body给响应 this.ctx.body = '此为水
深入学习Egg.js中的应用部署与运维
Egg.js简介与应用场景 ## 1.1 Egg.js框架概述 Egg.js是Node.js的一种企业级应用框架,它基于Koa.js和Express.js进行了封装和增强,提供了更为丰富和便捷的开发能力。Egg.js的设计哲学是约定大于配置,通过统一的...
egg设置csrf
weixin_44665610的博客
04-22 1309
eggJS设置csrf 在config/config.default.js中设置 //config/config.default.js module.exports = (appInfo) => { //······ config.security = { csrf: { enable: false, ignoreJSON: true, ...
egg 开启csrf跨域
bigb的博客
12-11 3060
egg 开启csrf跨域 本地调试的时候出现: 2021-12-11 07:57:54,071 WARN 9497 [-/::1/-/2ms POST /home/query/1?name=%E7%8E%8B%E4%BA%94] invalid csrf token. See https://eggjs.org/zh-cn/core/security.html#安全威胁csrf的防范 2021-12-11 07:57:54,072 WARN 9497 [-/::1/-/3ms POST /home/que
【网安】从 egg-security 源码分析 CSRF 问题处理思路
m0_59598029的博客
01-16 458
(跨站请求伪造):在b.com发起a.com的请求,会自动带上a.com的cookie,如果cookie中有敏感的票据,会有攻击者伪造用户发送请求的安全问题。
Web应用开发框架-egg(三)05-基础功能——控制器之controller介绍与设计技巧、csrf防范与重定向 & service服务的使用场景
最新发布
weixin_44867717的博客
10-30 268
简单的说 Controller 负责解析用户的输入,处理后返回相应的结果按照类的方式编写 Controller,不仅可以让我们更好的对 Controller 层代码进行抽象(例如将一些统一的处理抽象成一些私有方法),还可以通过自定义 Controller 基类的方式封装应用中常用的方法。
Egg.js 使用POST方式提交表单时的 CSRF 安全验证问题
GentleSevenV的博客
11-25 591
Egg.js 在使用POST方式提交表单数据时会自动进行 CSRF 安全验证,invalid csrf token。
egg.js框架post请求出现invalid csrf token安全验证的报错,已解决
qq_31676725的博客
04-13 4637
不得不说阿里的egg框架做的还是相当不错的,自带安全验证。 问题: get请求正常,post请求后台就会报这样的错误。 "nodejs.ForbiddenError: invalid csrf token" 对此问题官方有说明 点击跳转egg官方安全说明 这里不做过多解释 方法一:在confit.default.js新增以下代码,表示关闭安全验证(不推荐) config.security = { csrf: { enable: false, }, }; 方法二: 在前端
egg的跨域解决方案
Meat_doll的博客
08-10 495
知识点
egg-跨越问题
lihui61357457的博客
09-26 492
注意:跨域问题只能在后端解决,前端解决不了的。以下说明如何在egg在解决跨域问题。
eggjs&sequelize使用教程一(环境搭建)
热门推荐
米斯特尔曾的博客
11-19 1万+
egg sequelize 环境搭建
表单CSRF攻击验证
08-29
表单CSRF攻击验证是为了防止CSRF攻击而采取的一种措施。在客户端向后端请求界面数据时,后端会往响应中的cookie中设置csrf_token的值,并在表单中添加一个隐藏的字段,值也是csrf_token。这样,当用户提交表单时,后端会验证表单中的csrf_token与cookie中的csrf_token是否匹配,如果不匹配,则认为可能存在CSRF攻击,并拒绝该请求。通过这种验证方式,可以有效地防止CSRF攻击。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Flask模拟实现CSRF攻击的方法](https://download.csdn.net/download/weixin_38557727/13768777)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [2021-03-31](https://blog.csdn.net/m0_55876880/article/details/115344657)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [html表单csrf攻击的解决方案](https://blog.csdn.net/sunchanglan151/article/details/125516455)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值