分享一个实用Nodejs npm包:koa-csrf

PHP中文网 JavaScript 百度已收录

本文摘自PHP中文网,作者青灯夜游,侵删。

本篇文章给大家分享一个实用Nodejs npm包---koa-csrf。有一定的参考价值,有需要的朋友可以参考一下,希望对大家有所帮助。

koa-csrf是一个用于防止csrf攻击的koa中间件。

当然关于什么是csrf、以及如何预防这里就不赘述了,有兴趣的可以阅读understanding-csrf。egg处理csrf方案。

首先我们看个简单示例:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

const router = require('koa-router')();

const CSRF = require('koa-csrf');

const csrfMD = new CSRF({

  invalidSessionSecretMessage: 'Invalid session secret',

  invalidTokenMessage: 'Invalid CSRF token',

  invalidTokenStatusCode: 403,

});

 

router

  .get('/',csrfMD,async (ctx, next) => {

    ctx.cookies.set('cid','1234', cookieSet);

    // 下发csrf token

    await ctx.render('index', {

      title: 'EJS !',

      csrf: ctx.csrf

    });

  })

  .post('/post', csrfMD ,async (ctx, next) => {

    console.log(ctx.method);

    ctx.session.email = ctx.request.body.email;

    ctx.session.name = ctx.request.body.name;

    ctx.redirect('/');

  })

 

module.exports = router;

简单理解其工作流程:

客户端请求页面:

  • 服务端为用户当前 session 生成 secret 值,并存到 session 里;
  • 根据secret生成csrf token,存到ctx._csrf;
  • 下发csrf token到客户端

用户写操作,比如发送post 请求时:

  • 服务端获取客户端传递过来的csrf token;
  • 服务端从当前 session找到 secret 值;
  • 服务器用secret与接收的csrf token进行校验;

koa-csrf

koa-csrf中关于token的创建、校验逻辑都是在这个csrf包里。

阅读剩余部分

相关阅读 >>

mac和windows下如何使用nvm安装和管理多个版本的node.js

vue刷新404的问题解决方法

node.js如何使用文件系统模块?常用fs模块方法介绍

详解node.js异步迭代器及其使用方法

深入浅析node.js 中的多线程和多进程

nodejs模块的简单理解(附示例)

node.js真的单线程吗?进程间如何通信?

nw.js是什么?

浅谈node连接mysql数据库的方法

node.js和java后台服务器的简单比较

更多相关阅读请进入《node.js》频道 >>




标签:

打赏

取消

感谢您的支持,我会继续努力的!

扫码支持
扫码打赏,您说多少就多少

打开支付宝扫一扫,即可进行扫码打赏哦

分享从这里开始,精彩与您同在

相关推荐

评论

管理员已关闭评论功能...