CSRF庫官方文檔的例子修修改改就行了����。
CSRF防護流程
- 服務(wù)端:Express返回前端頁面時�����,在頁面上注入
CSRF token��。
- 瀏覽器端:頁面請求服務(wù)端接口����,帶上服務(wù)端返回的
CSRF token。
服務(wù)端代碼
服務(wù)端代碼:
var cookieParser = require('cookie-parser')
var csrf = require('csurf')
var bodyParser = require('body-parser')
var express = require('express')
// 模板
app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'ejs');
// CSRF中間件初始化
var csrfProtection = csrf({ cookie: true })
// create express app
var app = express()
// cookie解析
app.use(cookieParser())
// 解析參數(shù)
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({ extended: false }));
// CSRF防護
app.use(csrfProtection)
// 訪問頁面�����,生成CSRF token�����,并注入頁面
app.get('/index', function (req, res, next) {
res.render('index', { csrfToken: req.csrfToken() })
})
// 請求接口,解析請求參數(shù)����,獲取CSRF token,進行校驗(中間件完成的)
app.post('/api', function (req, res) {
res.send('你的處理結(jié)果')
})
模板代碼
預(yù)留了CSRF token的位置���。
<html>
<head>
<title>CSRF防護</title>
</head>
<body>
<h1>CSRF防護</h1>
<p id="csrf-token"><%= csrfToken %></p>
</body>
</html>
客戶端請求
發(fā)請求時�,把csrfToken加到請求參數(shù)里去就行�����。這里略過
