egg.js框架post请求出现invalid csrf token安全验证的报错,已解决

最新推荐文章于 2023-11-30 17:41:42 发布
最新推荐文章于 2023-11-30 17:41:42 发布
阅读量4.5k 收藏 8
点赞数 5
分类专栏: node.js vue 文章标签: javascript node.js 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31676725/article/details/115653645
版权

不得不说阿里的egg框架做的还是相当不错的,自带安全验证。

问题: get请求正常,post请求后台就会报这样的错误。

"nodejs.ForbiddenError: invalid csrf token"

对此问题官方有说明 点击跳转egg官方安全说明 这里不做过多解释

方法一:在confit.default.js新增以下代码,表示关闭安全验证(不推荐)

在这里插入图片描述

config.security = {
    csrf: {
      enable: false,
    },
  };
方法二: 在前端初始化界面的时候,让前端先get请求一个接口,后台返回一个秘钥给前端,让前端在post请求的时候放在headers请求头里,egg会自动去验证这个秘钥,验证成功才会成功请求。
1、egg后台代码,get接口返回秘钥:
async index() {
    const { ctx } = this;
    ctx.body = {
      csrf:ctx.csrf
    };
}

以下演示两种方式,postman测试如下,同时如果在前端请求的话,cookies里面会生成一个秘钥对,如下图,每次请求后秘钥都会变的,所以在前端获取到csrf要以全局的方式放在headers请求头里。
在这里插入图片描述

在这里插入图片描述

2、前端带上秘钥请求:
axios.post('apis/add', data,{headers:{'x-csrf-token': headData}})

postman测试如下,直接复制csrf
在这里插入图片描述

好了,请求成功,完美解决,开始搬砖
九点零
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
http referer 验证防御方法_CSRF漏洞的原理与防御
weixin_39713686的博客
11-29 2156
本文转载于SegmentFault社区作者:MshuCSRF 全称:Cross Site Request Forgery,译:跨站请求伪造场景点击一个链接之后发现:账号被盗,钱被转走,或者莫名发表某些评论等一切自己不知情的操作。CSRF是什么csrf 是一个可以发送http请求的脚本。可以伪装受害者向网站发送请求,达到修改网站数据的目的。原理当你在浏览器上登录某网站后,cookie会保存...
JS提示:Uncaught SyntaxError:Unexpected token ) 错误的解决方法
10-21
主要介绍了JS提示:Uncaught SyntaxError:Unexpected token ) 错误的解决方法,结合实例形式分析了javascript提示此类异常的常见原因与相关解决方法,需要的朋友可以参考下
Egg post 失败 { message: 'invalid csrf token' } 解决方案
热门推荐
甘宇辉的博客
06-04 2万+
服务端无法接受 post 请求,并且前台报错 403 ,服务端自动返回信息:message: 'invalid csrf token' 很多人的解决方案是直接在 config.default.js 文件中加入以下代码: config.security: { csrf: { enable: false, } } 以上方法确实可以解决此方案,但是不推荐,egg 框架内置了安全系...
Error: invalid csrf token
renpinghao的专栏
04-08 1万+
版权所有:一介布衣  原文地址:http://yijiebuyi.com/blog/74528e6546834ebfec47daf4e222d621.html  无特别说明均为原创,欢迎各种形式转载,转载请保留此段申明。 当你的Express 升级到4.0+版本后,有没有遇到过下面这个问题. {    [Error: invalid csrf token]   expo
wx.request请求eggjsinvalid csrf token
ky1in93的博客
10-30 297
如图可以看到在request中,我们已经把 x-csrf-token 塞到header中了,web断的request会 默认把cookie带上,小程序需要自己维护。原因是除了header,还需要把cookie手动塞进去。
Egg.js学习与实战系列 · Post请求`csrf token`问题
天问博客-专注于大前端技术
10-26 893
在使用axios请求egg.js封装的post接口时出现missing csrf tokeninvalid csrf token。踩过坑的新手估计不在少数,本篇记录一下解决方法。 问题原因 引用一下官网的Web 安全概念: Web 应用中存在很多安全风险,这些风险会被黑客利用,轻则篡改网页内容,重则窃取网站内部数据,更为严重的则是在网页中植入恶意代码,使得用户受到侵害。 常见的安全漏洞如下: XSS 攻击:对 Web 页面注入脚本,使用 JavaScript 窃取用户信息,诱导用户操作。
Jmeter接口登录获取参数token报错问题解决方案
08-18
首先,`token` 是一种常见的安全机制,用于验证请求的合法性。在登录接口中,服务器通常会返回一个唯一的、有时限的 `token`,以便后续请求携带该 `token` 进行身份验证。如果 `token` 持续变化,可能导致每次请求都...
Node.js-一个基于token验证登录
08-09
在本文中,我们将深入探讨如何使用Node.js、Vue.js和MongoDB实现基于Token验证登录系统,特别是通过JSON Web Tokens(JWT)进行身份验证。这是一个常见的Web应用安全实践,能够确保用户信息的安全,并且便于跨域...
Altium Designer 19 原理图复制出现InvalidParameter 报错解决办法-综合文档
05-23
Altium Designer 19 原理图复制出现InvalidParameter at AdvSch.dll, Base Addre... 报错解决办法
yhsd-egg:友好速搭插件开发egg.js:egg:扩展框架——yhsd-egg:egg:!
05-09
yhsd-egg Installation ...关闭CSRF防范,避免本地测试时报invalid csrf token错误 增加yhsd-api插件,app.Yhsd可以直接获取yhsd-api, 免去require('yhsd-api'),且其中所有的prototype已经被bluebi
nodejs.ForbiddenError: invalid csrf token解决方案
一火的专栏
01-17 1774
【现象】 【解决方法】在 config.default.js 文件中加入以下代码: config.security = { csrf:{ enable: false, } }
invalid csrf token 问题解决
lepton126的专栏
09-06 2万+
该条消息意是指浏览器无法创建安全的cookie或者无法读取授权登录的cookie,应该是浏览器本身不允许设置cookies。 以下步骤可解决这个问题。 Chrome 打开Chrome的设置。 在隐私设置和安全性版块中,点击Cookies及其他网站数据。 下滑到始终能使用 Cookie 的网站并点击添加。 复制粘贴"[*.]example.com"并点击添加。 然后复制粘贴"[*.]test.net"并点击添加。 点击所有cookies和网站数据,搜索example或test,然后删除所有的相关条目。 重
invalid csrf token. See https://eggjs.org/zh-cn/core/security.html#安全威胁csrf的防范
树上骑个猴的博客
12-30 1627
原因: egg 框架内置了安全系统,默认开启防止 XSS 攻击 和 CSRF 攻击。 在Security的默认拦截器里,默认会开启CSRF处理,判断请求是否携带了token,如果没有就拒绝访问。并且,在请求为(GET|HEAD|TRACE|OPTIONS)时,则不会开启 解决方案: 在config.default.js中添加如下红框配置: config.security = { csrf: { enable: false, }, }; ...
jquery ajax post()
weixin_43931625的博客
08-02 437
jquery ajax post() 应用:使用post发送异步请求,从后端获取数据 ********************* 语法:post(url,[data],[callback]) url:请求获取数据地址 data:可选,传递给后端的数据 callback:可选,请求成功后调用,请求失败不会调用,函数参数: response:请求结果 status:请求结果状态,如success xmlhttpRequest:http请求对象 type:请...
Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'
风雨诗轩的博客
04-27 8622
     Spring Security 4.0之后,引入了CSRF,默认是开启。不得不说,CSRF和RESTful技术有冲突。CSRF默认支持的方法: GET|HEAD|TRACE|OPTIONS,不支持POST。       解决方法有两种:       第一种是在spring security的配置类中将csrf功能禁用,如下@Override protected void configur...
Axios.post 请求报错: 403 Forbidden missing csrf tokeninvalid csrf token
最新发布
guoqkmiss的博客
11-30 2145
Axios.post
connect time out 获取token失败_Spring Cloud Gateway 实现Token校验
weixin_39969953的博客
11-21 586
在我看来,在某些场景下,网关就像是一个公共方法,把项目中的都要用到的一些功能提出来,抽象成一个服务。比如,我们可以在业务网关上做日志收集、Token校验等等,当然这么理解很狭隘,因为网关的能力远不止如此,但是不妨碍我们更好地理解它。下面的例子演示了,如何在网关校验Token,并提取用户信息放到Header中传给下游业务系统。1. 生成Token用户登录成功以后,生成token,此后的所有请求都带着...
Invalid CSRF Token 'null' was found
大猴子
08-04 2784
在整合spring boot 和spring security的时候,用AJAX提交数据浏览器返回以下提示:responseText: ""timestamp":1501832200997,"status":403,"error":"Forbidden","message":"Invalid CSRF Token 'null' was found on the request parameter '
HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf'...
Coding13的博客
07-10 7126
一、问题日志: HTTP Status 403 - Invalid CSRF Token ‘null’ was found on the request parameter ‘_csrf’ or header ‘X-CSRF-TOKEN’ 二、问题原因: Spring Security 4.0之后,引入了CSRF,默认状态为开启。CSRF和RESTful技术有冲突。CSRF默认支持的方法: G
nodejs.ForbiddenError: invalid csrf token
07-14
这个错误通常是由于 CSRF(跨站请求伪造)保护机制导致的。CSRF 保护是一种安全措施,用于防止恶意网站利用用户的身份执行未经授权的操作。 当你在使用 Node.js 开发的应用程序中遇到 "ForbiddenError: invalid csrf token" 错误时,意味着提交的请求中包含了无效的 CSRF 令牌。这通常是由以下几种情况引起的: 1. CSRF 令牌过期:CSRF 令牌有一个有效期,在一段时间后会过期。如果你在提交请求时使用了一个已过期的令牌,就会导致该错误。 2. CSRF 令牌未正确设置:在应用程序中,你需要正确设置和配置 CSRF 令牌的生成和验证过程。如果这个过程没有正确实现,就会导致无效的令牌错误。 解决这个问题的方法包括: 1. 检查 CSRF 令牌生成和验证的代码,确保其正确性。 2. 确保在每次请求中都包含有效且未过期的 CSRF 令牌。你可以通过在表单中添加隐藏字段或在请求头中包含令牌来实现。 3. 如果你使用了某些中间件或框架来处理 CSRF 保护,确保其版本是最新的,并根据文档正确配置。 请注意,具体的解决方法可能因应用程序的实现方式而有所不同。如果以上方法不能解决问题,请参考相关框架或库的文档,或者提供更多的错误信息以获取更准确的帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值