Error: invalid csrf token

最新推荐文章于 2023-11-30 17:41:42 发布
最新推荐文章于 2023-11-30 17:41:42 发布
阅读量1.1w 收藏
点赞数
分类专栏: bbs 文章标签: bbs
版权所有: 一介布衣  
原文地址: http://yijiebuyi.com/blog/74528e6546834ebfec47daf4e222d621.html  
无特别说明均为原创,欢迎各种形式转载,转载请保留此段申明。

当你的Express 升级到4.0+版本后,有没有遇到过下面这个问题.

{    [Error: invalid csrf token]   expose: true,   code: 'EBADCSRFTOKEN',   statusCode: 403,   status: 403  }

上面的错误是在node.js 运行环境的命令行报出来的.页面直接返回了500服务器错误.

我执行了什么操作?

这是我的一个新站 三思悦 ,此站有个功能是邀请注册,不对外公开注册的.

所以管理后台有个页面用来显示 邀请码,同时有个按钮,用来生成验证码,一次生成唯一不重复的50个.

所以这个页面对应2个相同的url ,只不过get方式用来呈现为被使用的邀请码,post 方式用来生成50个验证码并刷新本页.

其中 post 涉及到一个 form 提交.

上面报错的 csrf 是什么? 引用百度百科的一段说法

"CSRF(Cross-site request forgery跨站请求伪造,也被称为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。"

风险:

"风险在于那些通过基于受信任的输入form和对特定行为无需授权的已认证的用户来执行某些行为的web应用。已经通过被保存在用户浏览器中的cookie进行认证的用户将在完全无知的情况下发送HTTP请求到那个信任他的站点,进而进行用户不愿做的行为。"

那么Express 中为什么要有这个 csrf ? 原因就是为了避免 上面提到的风险,防止被 CSRF攻击.

在Express 中如何开启:

var csurf = require('csurf'); //使用前要 npm install csurfapp.use(function (req, res, next) {     csurf()(req, res, next);     next(); });

下面用一个客户端公共变量来储存此值

app.use(function (req, res, next) {   res.locals.csrf = req.csrfToken ? req.csrfToken() : '';   next(); });

这样我在页面中 直接用 <%- csrf %> 就可以得到此值. 

而上面的报错,正是因为post 的form 里面没有提交这个 csrfToken 值,导致上面的代码赋值时报错.

客户端可以用隐藏字段保存此值

<input type='hidden' name='_csrf' value='<%= csrf %>'/>

这样提交 Express 就不会报错了.

damon08708
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Harbor本地仓库搭建003_Harbor常见错误解决_以及各功能使用介绍_镜像推送和拉取---分布式云原生部署架构搭建003
添柴程序猿的专栏
06-18 412
然后点开这个镜像,可以看到对应的artifacts还有,他的tags,我们设站点1.15.12对吧。可以看到添加上,忽略的域名就可以了,让docker,对我们的地址,忽略https检测。首先我们去登录一下harbor,但是可以看到,用户名密码没有错,但是登录不上去。是因为,我们用了负债均衡,nginx会把,负载均衡进行,随机分配,访问的。的business这个项目,可以看到在镜像仓库中,就有了。登录以后,可以看到项目中,我们可以创建一个项目,比如。可以看到我们给,负载均衡,分发的时候,添加上。
helm部署harbor,harbor安装不启用ssl
weixin_41775953的博客
12-30 1493
externalURL=https不修改成http会报错:{"errors":[{"code":"FORBIDDEN","message":"CSRF token invalid"}]}参考:https://www.cnblogs.com/xiaojiluben/p/16799295.html。# persistence.enabled: 测试使用,关闭持久化。# externalURL: 访问地址,非常重要。# 安装harbor到harbor命名空间。(这个过程需要下载公网镜像,并非离线安装)
http referer 验证防御方法_CSRF漏洞的原理与防御
weixin_39713686的博客
11-29 2157
本文转载于SegmentFault社区作者:MshuCSRF 全称:Cross Site Request Forgery,译:跨站请求伪造场景点击一个链接之后发现:账号被盗,钱被转走,或者莫名发表某些评论等一切自己不知情的操作。CSRF是什么csrf 是一个可以发送http请求的脚本。可以伪装受害者向网站发送请求,达到修改网站数据的目的。原理当你在浏览器上登录某网站后,cookie会保存...
golang访问harbor api 403 CSRF token invalid
qq_44229840的博客
12-13 1824
使用golang调用harbor api时返回403错误码,提示CSRF token invalid。由于二次访问harbor时header没有设置 x-harbor-csrf-token属性导致。一次访问通过clinet执行harbor project查询,返回值不包含x-harbor-csrf-token,无法实现二次访问。起两个client避免二次访问。
SpringSecurity文件上传 CSRF错误:Invalid CSRF Token 'null' was found on the request parameter '_csrf' or ..
liu911025的博客
06-22 3104
Spring Security CSRF,默认是开启。CSRF默认支持的方法: GET|HEAD|TRACE|OPTIONS,不支持POST。比较关键的一点是如果这个http请求是get方式发起的请求,意味着它只是访问服务器 的资源,仅仅只是查询,没有更新服务器的资源,所以对于这类请求,spring security的防御策略是允许的,如果这个请求是通过post请求发起的, 那么spring se...
invalid csrf token 问题解决
热门推荐
lepton126的专栏
09-06 2万+
该条消息意是指浏览器无法创建安全的cookie或者无法读取授权登录的cookie,应该是浏览器本身不允许设置cookies。 以下步骤可解决这个问题。 Chrome 打开Chrome的设置。 在隐私设置和安全性版块中,点击Cookies及其他网站数据。 下滑到始终能使用 Cookie 的网站并点击添加。 复制粘贴"[*.]example.com"并点击添加。 然后复制粘贴"[*.]test.net"并点击添加。 点击所有cookies和网站数据,搜索example或test,然后删除所有的相关条目。 重
connect time out 获取token失败_Spring Cloud Gateway 实现Token校验
weixin_39969953的博客
11-21 588
在我看来,在某些场景下,网关就像是一个公共方法,把项目中的都要用到的一些功能提出来,抽象成一个服务。比如,我们可以在业务网关上做日志收集、Token校验等等,当然这么理解很狭隘,因为网关的能力远不止如此,但是不妨碍我们更好地理解它。下面的例子演示了,如何在网关校验Token,并提取用户信息放到Header中传给下游业务系统。1. 生成Token用户登录成功以后,生成token,此后的所有请求都带着...
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
log.error("Could not set user authentication in security context", e); } } chain.doFilter(request, response); } } ``` 创建JWT令牌通常在用户成功登录后进行。我们需要一个`AuthenticationManager`来...
LoginSpringBoot:登录SpringBoot
03-20
return ResponseEntity.unprocessableEntity().body(new ErrorResponse("Invalid credentials")); } } } ``` 以上代码中,`LoginRequest`是一个自定义的类,用于封装从HTML登录表单提交的数据。如果验证成功,你...
Django的富文本框中tiny_mce需要的js文件
02-11
xhr.setRequestHeader("X-CSRFToken", csrftoken); // 添加CSRF token xhr.onload = function() { var json; if (xhr.status != 200) { failure('HTTP Error: ' + xhr.status); return; } json = JSON.parse...
django实现前后台交互实例
09-21
@csrf_exempt # 忽略CSRF检查,因为我们已经在前端设置了CSRFToken def login_view(request): if request.method == 'POST': username = request.POST.get('username') password = request.POST.get('password') ...
PHP 图片文件上传实现代码
12-18
最后,为了防止跨站脚本攻击(XSS)和跨站请求伪造(CSRF),确保只有经过身份验证的用户才能进行文件上传,并使用令牌(token)验证上传请求的合法性。 总的来说,实现PHP图片文件上传不仅涉及编写处理文件上传的...
Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'
风雨诗轩的博客
04-27 8631
     Spring Security 4.0之后,引入了CSRF,默认是开启。不得不说,CSRF和RESTful技术有冲突。CSRF默认支持的方法: GET|HEAD|TRACE|OPTIONS,不支持POST。       解决方法有两种:       第一种是在spring security的配置类中将csrf功能禁用,如下@Override protected void configur...
egg.js框架post请求出现invalid csrf token安全验证的报错,已解决
qq_31676725的博客
04-13 4510
不得不说阿里的egg框架做的还是相当不错的,自带安全验证。 问题: get请求正常,post请求后台就会报这样的错误。 "nodejs.ForbiddenError: invalid csrf token" 对此问题官方有说明 点击跳转egg官方安全说明 这里不做过多解释 方法一:在confit.default.js新增以下代码,表示关闭安全验证(不推荐) config.security = { csrf: { enable: false, }, }; 方法二: 在前端
Axios.post 请求报错: 403 Forbidden missing csrf tokeninvalid csrf token
最新发布
guoqkmiss的博客
11-30 2152
Axios.post。
Invalid CSRF Token 'null' was found
大猴子
08-04 2784
在整合spring boot 和spring security的时候,用AJAX提交数据浏览器返回以下提示:responseText: ""timestamp":1501832200997,"status":403,"error":"Forbidden","message":"Invalid CSRF Token 'null' was found on the request parameter '
HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf'...
Coding13的博客
07-10 7128
一、问题日志: HTTP Status 403 - Invalid CSRF Token ‘null’ was found on the request parameter ‘_csrf’ or header ‘X-CSRF-TOKEN’ 二、问题原因: Spring Security 4.0之后,引入了CSRF,默认状态为开启。CSRF和RESTful技术有冲突。CSRF默认支持的方法: G
HTTP Status 403 - Invalid CSRF Token ‘null‘ was found on the request parameter ‘_csrf‘ or header解决方法
。。。。
08-02 2239
HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf' o...
nodejs.ForbiddenError: invalid csrf token解决方案
一火的专栏
01-17 1774
【现象】 【解决方法】在 config.default.js 文件中加入以下代码: config.security = { csrf:{ enable: false, } }
java CSRFToken csrf的设置 示例代码
07-14
response.sendError(HttpServletResponse.SC_FORBIDDEN, "Invalid CSRF Token"); } } ``` 在上述示例中,`CSRFTokenUtil` 类提供了生成、设置、验证和处理 CSRF Token 的方法。 - `generateCSRFToken` 方法用于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值