Express.js实现CSRF防护

最新推荐文章于 2024-10-08 12:37:10 发布
最新推荐文章于 2024-10-08 12:37:10 发布
阅读量379 收藏
点赞数
文章标签: python javascript ViewUI
原文链接:https://my.oschina.net/GanQtStay/blog/195123
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

不赘述什么是csrf了,关于怎么方式csrf伪造,网上有很多资料可以查,比如http://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/ 。我这里直说怎么在express.js里实现方式防护csrf的。

       最近mentor想试试node.js。所以新项目就用node.js来做了。采用express.js作为web框架。express.js里面有很多中间件和框架来实现各种功能,基本上能满足“要什么有什么”的需求了。其能力和python等一众脚本语言差不多。

       关于express.js怎么使用,https://github.com/nswbmw/N-blog/wiki/_pages 这里有很好的系列教程。我在项目中需要实现方式csrf的功能,基本上就是,需要在提交的表单中添加一个<input type=”hidden” name=”_csrf” value=_csrf />的内容,然后再提交post表单的时候,这个字段也被作为post的参数传递到服务端。      下面是实现方法。

       在app.js中添加cookie、session支持,这是基础。 

app.use(express.cookieParser());

app.use(express.session({

    secret: settings.cookieSecret,

}));


然后添加csrf防护中间件支持。 


app.use(express.csrf());
app.use(function(req, res, next){
    res.locals.csrf = req.session ? req.session._csrf : "";
    next();
});


注意上面的第三行,这里讲csrf值添加进了本地变量中。这样在渲染模板中就可以直接使用这个值了。在相关的.ejs文件中,做如下相应改变(注意我使用的是ejs模板渲染引擎)。 


<input type="hidden" name="_csrf" value=<%= csrf%>>


注意上面,我直接在<%= %>标签中使用了csrf变量,这个变量就是在res.locals.csrf=req.session?req.session._csrf:””这时候被赋值并添加进本地变量中的,可以在渲染模板中直接使用。locals变量还可以使用在其他地方。

基本上就是这样,简单,但是需要点明。

转载于:https://my.oschina.net/GanQtStay/blog/195123

weixin_33787529
关注
前端安全之XSS及CSRF
javagty6778的博客
02-11 159
【代码】前端安全之XSS及CSRF
securicornjs:Express.js安全助手
05-01
**Express.js安全助手securicornjs详解** Express.js是Node.js平台上广泛使用的Web应用程序框架,以其简洁、灵活的API设计深受开发者喜爱。然而,随着Web应用的复杂性增加,安全问题变得越来越重要。`securicornjs`...
实战:Express 模拟 CSRF 攻击
azl397985856的专栏
02-20 477
CSRF攻击 是前端领域常见的安全问题,概念方面不再赘述,可以参考维基百科。对于这些概念,包括名词定义、攻击方式、解决方案等估计大家都看过不少,但留下印象总是很模糊,要动手操作一番才能加深...
一个express老系统csrf漏洞修复
weixin_34138139的博客
04-10 363
一个运行快两年的express框架web系统,被安全部门审核存在csrf漏洞,项目使用的前后端分离的形式,所有功能操作,通过ajax调用后端接口来完成,查了很多资料,一个基本的防御思想就是验证随机数了,为什么随机数就可以实现csrf的防御呢?本文将针对该问题进行分解 什么是csrf csrf(跨站请求伪造)是一种网络攻击方式,怎么实现这种...
论node.jsexpresscsrf的随机验证失败的bug
只能做防骑的专栏
10-13 3026
背景: 在node.js中直接使用express搭建文档结构,如果需要防护CSRF,需要在app.js中,也就是Middleware配置中,需要加上: app.use(express.csrf()); 问题: 当我加载,ejs的view的时候,如果使用在前端使用ajax再次请求,会获取到新的_csrf值,这原本是没有什么问题的,但是确会随机出现: Error: Forbidden
理解CSRF(跨站请求伪造)
10-21 177
理解CSRF(跨站请求伪造) 原文出处Understanding CSRF 对于Express团队的csrf模块和csurf模块的加密函数的用法我们经常有一些在意。 这些在意是莫须有的,因为他们不了解CSRF token是如何工作的。 下面快速过一遍! 读过后还有疑问?希望告诉我们错误?请开一个issue! 一个CSRF攻击是如何工作的? 在他们的钓鱼站点,攻击者可以通...
Express.js中的安全防护:防范常见攻击与安全最佳实践
本文将深入探讨在Express.js中实施安全防护的重要性以及如何有效地防范常见攻击。 ### 1.1 什么是Express.js Express.js是一款轻量级、灵活的Web应用程序框架,它提供了一系列强大的特性,如中间件支持、路由系统等...
Node.js-Footing-使用Express和Node.js开发RESTAPI的基础
08-10
Express和Node.js中,可以通过第三方库如`csurf`来实现CSRF防护: 1. **安装`csurf`**: 运行`npm install csurf`。 2. **配置中间件**: 在Express应用中引入`csurf`并创建一个中间件,将生成的CSRF令牌添加到请求...
Node.js-node-express|实现登录验证和授权
08-09
实际应用中,还需要考虑更多的安全问题,如CSRF防护、XSS攻击防范等。此外,数据库操作应使用ORM库(如Sequelize或Mongoose)以提高代码的可维护性和安全性。最后,考虑使用专门的身份验证库(如Passport.js)来简化...
xss,csrf,xsrf
lin_fightin的博客
03-03 467
Xss跨站脚本攻击(Cross Site Scripting) 原理: HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(<)被看作是HTML标签的开始,与之间的字符是页面的标题等等。 当动态页面中插入的内容含有这些特殊字符(如<)时,用户浏览器会将其误认为是插入了HTML标签,当这些HTML标签引入了一段JavaScript脚本时,这些脚本程序就将会在用户浏览器中执行 所以,当这些特殊字符不能被动态页面检查或检查出现失误时,就将会产生XSS漏洞。 案例
探索 Express.js 中的安全盾牌:csurf
gitblog_00044的博客
04-10 446
探索 Express.js 中的安全盾牌:csurf csurf项目地址:https://gitcode.com/gh_mirrors/cs/csurf 在Web开发的世界里,安全性是不可忽视的关键因素。Express.js作为Node.js最流行的框架之一,为我们提供了丰富的中间件来构建安全、高效的Web应用。其中之一便是csurf,一个用于防御跨站请求伪造(CSRF)攻击的强大的中间件。在这...
Express 3 implement CSRF protection
weixin_34270865的博客
10-18 94
为什么80%的码农都做不了架构师?>>> ...
express+axios 配置csrf
weixin_40863414的博客
03-04 570
自己用express和axios来配置csrf时候的坑&amp;amp;总结。 文章地址: express+axios 配置csrf
防御csrf的另一种方法
标子 的专栏
10-17 1861
除了在每个表单页面里加入hidden input外,还有一种利用csrfcode进行防御的方法,这种方法把csrfcode的相关数据放在cookie中,但并不是把csrfcode放到cookie中,比如我们在cookie中放入a=123,b=456,然后请求的时候,如果需要加入csrfcode时把a+b当做csrfcode,也就是579作为csrfcode放到请求中,然后发到后端,后端本身会保存着
Nodejs实现CSRF防护
Kata的博客
04-25 1432
Nodejs实现CSRF防护 一、CSRF攻击简介 CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User...
跨站请求伪造(CSRF)
Ryron的博客
05-21 1348
跨站请求伪造 CSRF Cross-site request forgery,跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却
Web安全之CSRF实例解析
frontend_frank的博客
07-06 1444
CSRF跨站请求伪造(Cross Site Request Forgery),是指黑客诱导用户打开黑客的网站,在黑客的网站中,利用用户的登陆状态发起的跨站请求。CSRF攻击就是利用了用户...
Python3 解释器
Java_fenxiang的博客
10-05 540
Linux/Unix的系统上,一般默认的 python 版本为 2.x,我们可以将 python3.x 安装在/usr/local/python3目录中。安装完成后,我们可以将路径/usr/local/python3/bin添加到您的 Linux/Unix 操作系统的环境变量中,这样您就可以通过 shell 终端输...
python中zip()与zip(*)的用法解析
最新发布
m0_51579041的博客
10-08 183
zip()与zip(*)的用法解析
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值