相关文章推荐
爱看书的卤蛋  ·  X-CSRF-令牌或XSRF令牌有什么意义, ...·  6 月前    · 
小胡子的牛腩  ·  apache set-cookie ...·  12 月前    · 
独立的跑步鞋  ·  Java中的跨站请求伪造_java跨站请求伪 ...·  1 年前    · 
阳光的青蛙  ·  Spring ...·  1 年前    · 
傲视众生的鞭炮  ·  10 种保护 Spring Boot ...·  1 年前    · 
气宇轩昂的铅笔  ·  朗丽兹酒店(成都欢乐谷金府地铁站店)·  3 周前    · 
冷静的饼干  ·  阿拉伯世界共有22国,谁有资格成为阿拉伯的“ ...·  1 月前    · 
闷骚的伤疤  ·  首映礼的过程·  6 月前    · 
含蓄的人字拖  ·  胡适故居_百度百科·  11 月前    · 
直爽的熊猫  ·  实事求是:习近平新时代中国特色社会主义思想的 ...·  12 月前    · 
Code  ›  Node.js模块CSURF问题--如何计算反CSRF令牌? - 问答
cookie csrf
https://cloud.tencent.com/developer/ask/sof/482244
睿智的弓箭
1 年前
登录

Node.js模块CSURF问题--如何计算反CSRF令牌?

内容来源于 Stack Overflow,遵循 CC BY-SA 4.0 许可协议进行翻译与使用。IT领域专用引擎提供翻译支持

腾讯云小微IT领域专用引擎提供翻译支持

原文
Stack Overflow用户 提问于2021-11-03
问题反馈
node.js express csrf

我使用的是node.js模块CSURF,它被配置为通过cookie解析器使用cookie。

出于演示目的,我只是在/form GET请求中将反CSRF令牌回显到屏幕。下面是通过VS Code Rest客户端插件的请求和响应: 

GET http://localhost:9000/form HTTP/1.1
User-Agent: vscode-restclient
accept-encoding: gzip, deflate
cookie: sid=s%3AYdAxaIHCvv38D6vd3VOi085SOzqkuZpN.eloHBwtgNm4yXQia3FtgR6puNj48kNZVbxlWtBZhSk0; _csrf=xdfFevA7j1qcGRo5BvB7JDQ2
HTTP/1.1 200 OK
Access-Control-Allow-Origin: *
Content-Security-Policy: default-src 'self';base-uri 'self';block-all-mixed-content;font-src 'self' https: data:;frame-ancestors 'self';img-src 'self' data:;object-src 'none';script-src 'self';script-src-attr 'none';style-src 'self' https: 'unsafe-inline';upgrade-insecure-requests
X-DNS-Prefetch-Control: off
Expect-CT: max-age=0
X-Frame-Options: SAMEORIGIN
Strict-Transport-Security: max-age=15552000; includeSubDomains
X-Download-Options: noopen
X-Content-Type-Options: nosniff
X-Permitted-Cross-Domain-Policies: none
Referrer-Policy: no-referrer
X-XSS-Protection: 0
Content-Type: application/json; charset=utf-8
Content-Length: 52
ETag: W/"34-4PDt3TpquKFR5AlQtYw1wqZJRD4"
Date: Wed, 03 Nov 2021 02:47:01 GMT
Connection: close
  "csrfToken": "HhEOYbdx-lhbaEmFT_Udx-CyyZFvuXG2u3lI"
}

您可以在cookie中看到_csrf的值-- xdfFevA7j1qcGRo5BvB7JDQ2

有趣的是,这与屏幕的标记输出不匹配-- HhEOYbdx-lhbaEmFT_Udx-CyyZFvuXG2u3lI

因此,我假设这是一个加密匹配,或者在CSRF值中添加了一个盐,以便每次生成唯一的反_csrf令牌。

...which很好,当我使用HhEOYbdx-lhbaEmFT_Udx-CyyZFvuXG2u3lI发出POST请求时,b/ CSURF工作。

当我向/form端点发出一个新的GET请求时,问题/混淆就开始起作用了。CSRF值(xdfFevA7j1qcGRo5BvB7JDQ2)没有改变,只有输出到屏幕上的反_csrf标记。

所以看起来反CSRF令牌在每次请求时都会改变,但是cookie值不会改变。这是正确的行为吗?它看起来不像b/c,我总是能够使用任何反CSRF令牌来绕过检查。

以下是CSURF URL https://www.npmjs.com/package/csurf 的完整代码 

var cookieParser = require('cookie-parser')
var csrf = require('csurf')
var bodyParser = require('body-parser')
var express = require('express')
// setup route middlewares
var csrfProtection = csrf({ cookie: true })
var parseForm = bodyParser.urlencoded({ extended: false })
// create express app
var app = express()
// parse cookies
// we need this because "cookie" is true in csrfProtection
app.use(cookieParser())
app.get('/form', csrfProtection, function (req, res) {
  // changed original code to display token to screen instead of render it within a form; this is for dev purposes only
 
推荐文章
爱看书的卤蛋  ·  X-CSRF-令牌或XSRF令牌有什么意义,为什么不直接使用严格相同的网站cookie呢?-腾讯云开发者社区-腾讯云
6 月前
小胡子的牛腩  ·  apache set-cookie samesite=strict-掘金
12 月前
独立的跑步鞋  ·  Java中的跨站请求伪造_java跨站请求伪造-CSDN博客
1 年前
阳光的青蛙  ·  Spring Boot十种安全措施-腾讯云开发者社区-腾讯云
1 年前
傲视众生的鞭炮  ·  10 种保护 Spring Boot 应用的绝佳方法-腾讯云开发者社区-腾讯云
1 年前
气宇轩昂的铅笔  ·  朗丽兹酒店(成都欢乐谷金府地铁站店)
3 周前
冷静的饼干  ·  阿拉伯世界共有22国,谁有资格成为阿拉伯的“老大哥”?
1 月前
闷骚的伤疤  ·  首映礼的过程
6 月前
含蓄的人字拖  ·  胡适故居_百度百科
11 月前
直爽的熊猫  ·  实事求是:习近平新时代中国特色社会主义思想的精髓---党建网
12 月前
今天看啥   ·   Py中国   ·   codingpro   ·   藏经阁   ·   小百科   ·   link之家   ·   卧龙AI搜索
删除内容请联系邮箱 2879853325@qq.com
Code - 代码工具平台
© 2024 ~ 沪ICP备11025650号