egg学习笔记(4)--安全机制csrf

最新推荐文章于 2024-06-10 09:34:05 发布
最新推荐文章于 2024-06-10 09:34:05 发布
阅读量557 收藏
点赞数
原文链接:https://segmentfault.com/a/1190000016444455
版权

简介

CSRF 攻击:伪造用户请求向网站发起恶意请求。

目录结构

clipboard.png

controller

//controller/postsafe.js

'use strict';

const Controller = require('egg').Controller;

class PostsafeController extends Controller {
  async index() {
    await this.ctx.render('postsafe')
  }
  async post(){
      let bodydata = this.ctx.request.body;
      console.log(bodydata)
  }
}

module.exports = PostsafeController;

router

//router.js


  router.get('/postsafe', controller.postsafe.index);
  router.post('/postsafe', controller.postsafe.post);

middleware

//middleware/auth.js

module.exports = (options,app) => {
    return async function auth(ctx,next){
        ctx.state.csrf = ctx.csrf;
        await next()
    }
}

//config/config.default.js

  config.middleware = ['printdate','forbidip','auth'];

view

//view/postsafe.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>Document</title>
</head>
<body>
    <form action="/postsafe?_csrf=<%= csrf %>" method="POST">
        <!-- <input type="hidden" name="_csrf" value="<%= csrf %>"> -->
        <div>
            <span>用户名</span>
            <input type="text" name="username">
        </div>
        <div>
            <span>密码</span>
            <input type="password" name="password">
        </div>
        <button type="submit">提交</button>
    </form>
</body>
</html>

页面效果

clipboard.png

clipboard.png

clipboard.png

去掉csrf

clipboard.png

weixin_34015860
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
配置csrf_egg.js web 安全配置
weixin_42628464的博客
01-04 1367
极简 Node.js 入门教程 · 语雀​www.yuque.comegg.js 通过 egg-security 插件提供了大量的 web 安全防护使用框架的安全插件是默认开启的,如果我们想关闭其中一些安全防范,直接设置该项的 enable 属性为 false 即可。例如关闭 xframe 防范: config/config.default.jsexports.security = { xfr...
安全性测试--CSRF攻击
02-26
CSRF(Cross-siterequestforgery),...CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型**和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、M
eggjs项目创建及配置
qq_34176087的博客
10-31 868
egg项目创建
探索Egg.js的护盾——egg-security插件
最新发布
gitblog_00029的博客
06-10 242
探索Egg.js的护盾——egg-security插件 项目地址:https://gitcode.com/eggjsegg/egg-security 在浩瀚的Web开发框架之中,Egg.js以其高度可配置性和企业级的稳定性脱颖而出,而今天我们要探讨的是其背后的守护者之一——egg-security插件。这不仅是一个工具,它是安全的象征,为你的应用加上一层坚实的防护罩。 项目介绍 egg-secur...
【网安】从 egg-security 源码分析 CSRF 问题处理思路
m0_59598029的博客
01-16 435
(跨站请求伪造):在b.com发起a.com的请求,会自动带上a.com的cookie,如果cookie中有敏感的票据,会有攻击者伪造用户发送请求的安全问题。
01-egg基本请求与响应
厚渡
03-28 2593
基本使用 router 路由 app/router.js 文件 整个项目能访问的接口都得开路由 默认路由"/" /api/:id占位符的位置必须有值 jsonp暴露接口给别人的 // app/router.js /** * @param {Egg.Application} app - egg application */ module.exports = app => { const { router, controller, jsonp } = app; router.
egg表单提交csrf验证
不求甚解的博客
07-26 7209
1、egg在进行表单提交时,会验证csrf,以防止网站被攻击。 2、在中间件中设置全局csrf变量,并将csrf存在state中,给前端使用 module.exports = options => { return async function adminauth(ctx, next) { // 定义全局csrf安全认证变量 ctx.state.csrf = ctx...
next-csrf:Next.js的CSRF缓解
05-14
next-csrf Next.js的CSRF缓解。 特征 next-csrf实现的缓解模式: 使用 (另请 ) 安装 含纱线: yarn add next-csrf 使用npm: npm i next-csrf --save 用法 设置: // file: lib/csrf.js import { nextCsrf } ...
CSRF-Protector-PHP:CSRF保护器库
05-10
" owasp/csrf-protector-php " : " dev-master " } } 然后打开终端(或命令提示符),移至项目目录并运行 composer install # # Or alternatively php composer.phar install 这会将CSRFP添加到您的项目目录中...
CSRF:ring-csrf示例
01-28
二是通过`X-CSRF-TOKEN` HTTP头发送。`ring-csrf`库提供方便的函数如`ring-csrf/token`,可以在模板渲染时插入令牌。 4. **例外处理**:当CSRF验证失败时,`ring-csrf/protect`中间件可以配置为返回特定的HTTP错误...
egg.js Post提交数据,安全机制csrf的防范,以及配置模板全局变量
ADLF
07-08 2427
加入 _csrf 防范,提交数据需加csrf <form action="/news/doAdd?_csrf=<%=csrf%>" method="POST"> 用户名:<input type="text" name="username"/><br><br> 密 码:<input type="text"name="passwor...
egg.js 中接收post提交数据,以及csrf防范机制
DKcode
04-09 3824
一、在egg中获取post提交的数据,无需依赖其他第三方包 this.ctx.request.body //获取post数据,以对象的形式返回 二、eggcsrf防范机制 获取csrf,由egg随机生成的,每次访问都随机生成一个值 this.ctx.csrf 三、全局生成csrf 在每次渲染页面,都需要传递一个csrf显得比较麻烦时,我们可以通过middleware全局生成一个c...
egg设置csrf
weixin_44665610的博客
04-22 1275
eggJS设置csrf 在config/config.default.js中设置 //config/config.default.js module.exports = (appInfo) => { //······ config.security = { csrf: { enable: false, ignoreJSON: true, ...
Egg.js 使用POST方式提交表单时的 CSRF 安全验证问题
GentleSevenV的博客
11-25 568
Egg.js 在使用POST方式提交表单数据时会自动进行 CSRF 安全验证,invalid csrf token。
跨域post 及 使用token防止csrf 攻击
热门推荐
ymark
12-30 3万+
1.利用iframe进行跨域post提交 2.csrf的攻击和防御措施 3.使用token保护请求 4.关于webapp跨域提交的问题
egg.js post跨域请求问题
microcosm1994的博客
07-02 5398
使用Egg调用POST请求的时候,浏览器会触发405报错 需要使用egg-cors插件 npm i egg-cors --save config.default.js config.security = { csrf: { enable: false, ignoreJSON: true, // 默认为 false,...
CSRF(Cross-site request forgery)
sh0rk的博客
11-11 1776
CSRF什么是CSRF利用方法进阶防御 什么是CSRF CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 利用方法 index.jsp &lt;html&gt; &lt;head&gt; &lt;title&gt;CSRF Te...
egg.js 前后端分离时的csrf安全防范和cors跨域配置
pyp_demon的博客
09-22 934
添加依赖 npm i egg-cors --save npm i egg-cors --save 配置插件信息 config/plugin.js 'use strict'; // config/plugin.js module.exports = { cors: { enable: true, package: 'egg-cors', }, }; 配置config/config.default.js文件 /* eslint valid-jsdoc: "off" */ 'us
python x-csrf-token
05-13
在使用 Python 发送 HTTP 请求时,如果请求需要携带 CSRF Token 的话,可以在请求头中添加 "X-CSRF-Token" 字段,并将 Token 值作为其值发送。 以下是一个示例代码: ```python import requests # 假设 CSRF ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值