我认为我误解了 token 应该如何发布。我每次都会收到 403,即使它实际上是在尝试传递 token 。
这是服务器代码
var express = require('express');
var path = require('path');
var favicon = require('serve-favicon');
var logger = require('morgan');
var cookieParser = require('cookie-parser');
var bodyParser = require('body-parser');
var redis = require('redis');
var session = require('express-session');
var RedisStore = require('connect-redis')(session);
var ejs = require('ejs');
var csrf = require('csurf');
var util = require('./public/javascripts/utilities');
var routes = require('./routes/index');
var users = require('./routes/users');
var login = require('./routes/login');
var loginProcess = require('./public/javascripts/login.js').loginProcess;
// var loginProcess = require('./public/javascripts/login.js')
var client = redis.createClient();
var app = express();
// view engine setup
app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'ejs');
// uncomment after placing your favicon in /public
//app.use(favicon(path.join(__dirname, 'public', 'favicon.ico')));
app.use(logger('dev'));
app.use(express.static(path.join(__dirname, '/public')));
app.use(cookieParser('secret'));
app.use(session(
{
store: new RedisStore({ host: 'localhost', port: 6379, client: client }),
secret: 'secret',
saveUninitialized: true,
resave: false
}
));
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({ extended: false }));
app.use(csrf());
app.use(util.csrf);
app.use(util.authenticated);
app.use('/', routes);
app.use('/users', users);
app.use('/login',
login,
loginProcess);
// catch 404 and forward to error handler
app.use(function(req, res, next) {
var err = new Error('Not Found');
err.status = 404;
next(err);
});
// error handlers
// development error handler
// will print stacktrace
if (app.get('env') === 'development') {
app.use(function(err, req, res, next) {
res.status(err.status || 500);
res.render('error', {
message: err.message,
error: err
});
});
}
// production error handler
// no stacktraces leaked to user
app.use(function(err, req, res, next) {
res.status(err.status || 500);
res.render('error', {
message: err.message,
error: {}
});
});
module.exports = app;
登录路径为
var express = require('express');
var router = express.Router();
router.get('/', function(req, res, next) {
res.render('login', {title: 'Login'});
next();
});
这是我在 var util 中得到的内容
module.exports.csrf = function csrf(req, res, next){
res.locals.csrftoken = req.csrfToken();
next();
};
我也在使用 ejs,并在我的表单 method='post' 之后添加此内容
<input type="hidden" name="_csrf" value="<%= csrfToken %>>"
每当返回403时,表单数据至少获取输入的名称
_csrf:
用户名:测试
密码:>9000
但正如你所看到的,它是空白的
我也不确定 res.locals.csrftoken 是否被传递到登录路由,所以我也尝试使用 router.post 直接将其添加到那里,但收到此错误
错误:发送后无法设置 header 。
我几乎浏览了我能找到的所有与此相关的帖子。我要么没有为我所缺少的东西建立逻辑联系,要么完全误解了某些东西。两者都是完全合理的,我的钱是在第二个上。请随意发表任何评论,你到底为什么要这样做——那样——评论,因为我这样做很可能是出于无知,而这些评论对学习过程很有好处。提前致谢。
编辑:删除我的实用程序函数并遵循正确的“csurf”文档成功地将 csrf token 传递到我的/login View 。
我越来越接近了,但仍然是错误的,但这可能会让我明白我在哪里感到困惑。
var express = require('express');
var router = express.Router();
/* GET login listing. */
router.get('/', function(req, res, next) {
res.render('login', {title: 'Login', csrfToken: req.csrfToken() });
});
function loginProcess(req, res, next){
console.log(req.body);
res.send(req.body.username + ' ' + req.body.password);
res.json(req.csrfToken());
next();
};
router.post('/', loginProcess);
module.exports = router;
为什么这会将我重定向到 404 页面?
因为我在测试之前没有删除我的身份验证步骤。
此外,我知道这是以纯文本形式发送 un & pw 以及 csrf token ,这可不是什么好事。我最终会谈到这一点。
我所做的就是尝试在提交用户名和密码时设置 header 。
错误:发送后无法设置 header 。
我以为是我的loginProcess函数,但是删除了next(),或者添加了res.end();没有帮助
function loginProcess(req, res, next){
console.log(req.body);
res.send(req.body.username + ' ' + req.body.password);
res.json(req.csrfToken());
res.end();
};
编辑您不能像这样使用 res.send 和 res.json,因为从技术上讲它们都是发送,并且您不能发送 headers+body 然后再次发送 headers+body。
token 是自动发送的,因此我删除了 res.json(req.csrfToken();
但是在某个地方我没有在帖子上正确重定向。我只是得到一个空白页面,其中包含输入的用户名和密码。
编辑:
霍凯。所以一切看起来都工作正常。这是更新后的代码。
登录.js
var express = require('express');
var router = express.Router();
/* GET login listing. */
router.get('/', function(req, res, next) {
res.render('login', {title: 'Login', csrfToken: req.csrfToken() });
});
function loginProcess(req, res, next){
var isAuth = auth(req.body.username, req.body.password, req.session)
if (isAuth){
res.redirect('/chat');
}else{
res.redirect('/login');
}
};
router.post('/', loginProcess);
router.get('/logout', out);
module.exports = router;
app.js
var routes = require('./routes/index');
var users = require('./routes/users');
var login = require('./routes/login');
var chat = require('./routes/chat');
//var loginProcess = require('./public/javascripts/login.js').loginProcess;
var client = redis.createClient();
var app = express();
// view engine setup
app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'ejs');
// uncomment after placing your favicon in /public
//app.use(favicon(path.join(__dirname, 'public', 'favicon.ico')));
app.use(logger('dev'));
app.use(express.static(path.join(__dirname, '/public')));
app.use(cookieParser('secret'));
app.use(session(
{
secret: 'secret',
store: new RedisStore({ host: 'localhost', port: 6379, client: client }),
saveUninitialized: true,
resave: false
}
));
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({ extended: false }));
app.use(csrf({ cookie: true }));
// app.use(util.csrf);
app.use(util.authenticated);
app.use('/', routes);
app.use('/users', users);
app.use('/login', login);
app.use('/chat', [util.requireAuthentication], chat);
我仍然需要进行大量的清理工作,但它至少可以正常工作。 非常感谢@Swaraj Giri
最佳答案
什么是app.use(util.csrf);
?我猜你需要删除它。
来自 csurf 的文档,
您需要设置csrf({ cookie: true })
。这会在 req.body._csrf
中设置 crsf 值。
然后您需要将 { csrfToken: req.csrfToken() }
传递到登录页面的 View 。
在login.js中
router.get('/', function(req, res, next) {
res.render('login', {title: 'Login', csrfToken: req.csrfToken()});
next();
});
关于node.js - Express 4 和 CSRF token 发布出现问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32960399/