[英]CSRF Middleware causing trouble Node.JS + Express
根据之前的 SO 问题,已经成功地让 csrf 中间件在 express 中工作。 它可以很好地生成令牌,但它拒绝所有表单提交。
我能看到的唯一可能的冲突是,我将 redis 用作带有 connect-redis 的 session 商店,并将 socket.io 插入 session,但我已经注释掉了套接字位,但它仍然无法正常播放。
这是我调用我的中间件的顺序,这里可能有点古怪?
(咖啡脚本)
app.configure ->
app.set 'views', __dirname + '/views'
app.set 'view engine', 'jade'
app.use express.bodyParser()
app.use express.methodOverride()
app.use express.cookieParser()
app.use express.session
secret: "itsasecret"
store: sessionStore
app.use express.csrf()
app.dynamicHelpers
token: (req, res) ->
req.session._csrf
app.use app.router
app.use express.static(__dirname + '/public')
这是响应发布数据的路由。
(这不是开发代码,只是我学习节点我很清楚如果我把它放在网上这将是一个怪物)
app.post '/admin/logintry', (req, res) ->
if req.body.username is 'Tim' and req.body.password is 'TempPassword'
req.session.adminIn = true
res.redirect '/admin/home'
else
res.redirect '/admin/login?failed=true'
这是在表单页面上到达浏览器的 HTML:
<input type="hidden" token="5ODFxml1QAhQvOmq1QE6Qd7n">
以及从“/admin/logintry”收到的响应:
Forbidden
Node、Express 和 SO 的新手,最近才正确学习 javascript,甚至不确定从哪里开始寻找问题。 非常感谢任何帮助,即使只是关于从哪里开始挖掘的帮助。
干杯。
如果您查看Connect - csrf 文档,令牌的input
标签应如下所示:
<input type="hidden" name="_csrf" value="{token}" />
因此,使用您的示例令牌:
<input type="hidden" name="_csrf" value="5ODFxml1QAhQvOmq1QE6Qd7n" />
目前 Connect(Express 在后台使用 Connect)正在尝试查找名称为“_csrf”的字段,但找不到它,因为它不存在于您的表单中。 因此,它禁止访问。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.