실용적인 Nodejs npm 패키지 공유: koa-csrf-JS 튜토리얼-php.cn

집

웹 프론트엔드

JS 튜토리얼

실용적인 Nodejs npm 패키지 공유: koa-csrf

青灯夜游

Apr 25, 2021 am 10:09 AM

node.js

이 기사에서는 실용적인 Nodejs npm 패키지---koa-csrf를 공유합니다. 도움이 필요한 친구들이 모두 참고할 수 있기를 바랍니다.

실용적인 Nodejs npm 패키지 공유: koa-csrf

koa-csrf은 csrf 공격을 방지하는 데 사용되는 koa 미들웨어입니다.

물론 여기서는 CSRF가 무엇인지, 이를 방지하는 방법에 대해 자세히 설명하지 않겠습니다. 관심 있는 분들은 understanding-csrf를 읽어보세요. egg는 csrf 솔루션을 처리합니다.

먼저 간단한 예를 살펴보겠습니다.

const router = require(&#39;koa-router&#39;)();
const CSRF = require(&#39;koa-csrf&#39;);
const csrfMD = new CSRF({
  invalidSessionSecretMessage: &#39;Invalid session secret&#39;,
  invalidTokenMessage: &#39;Invalid CSRF token&#39;,
  invalidTokenStatusCode: 403,
});

router
  .get(&#39;/&#39;,csrfMD,async (ctx, next) => {
    ctx.cookies.set(&#39;cid&#39;,&#39;1234&#39;, cookieSet);
    // 下发csrf token
    await ctx.render(&#39;index&#39;, {
      title: &#39;EJS !&#39;,
      csrf: ctx.csrf
    });
  })
  .post(&#39;/post&#39;, csrfMD ,async (ctx, next) => {
    console.log(ctx.method);
    ctx.session.email = ctx.request.body.email;
    ctx.session.name = ctx.request.body.name;
    ctx.redirect(&#39;/&#39;);
  })

module.exports = router;

작업 흐름에 대한 간단한 이해:

클라이언트 요청 페이지:

서버는 사용자의 현재 세션에 대한 비밀 값을 생성하고 이를 세션에 저장합니다. 비밀을 기반으로 하는 csrf 토큰, ctx._csrf에 저장
csrf 토큰을 클라이언트에 보냅니다
게시 요청을 보낼 때와 같은 사용자 쓰기 작업:

서버는 클라이언트가 전달한 csrf 토큰을 얻습니다. 클라이언트;

서버는 현재 세션에서 csrf 토큰을 얻습니다. 비밀 값을 찾습니다.
서버는 받은 csrf 토큰을 확인하기 위해 비밀 값을 사용합니다.

koa-csrf

koa-csrf의 토큰 생성 및 확인 로직은 모두 이

csrf

패키지에 있습니다.

const csrf = require(&#39;csrf&#39;);

class CSRF {
  constructor(opts = {}) {
    // opts配置对象、并且有提供默认配置
    // 允许自定义配置对象进行覆盖
    this.opts = Object.assign(
      {
        // 使 koa 抛出的错误信息内容，默认值为：&#39;Invalid CSRF token&#39;。
        // 它可以是一个接收 ctx 作为参数的函数，函数最后返回错误信息内容。
        invalidTokenMessage: &#39;Invalid CSRF token&#39;,
        // 验证失败时的响应状态码，默认值为：403（Forbidden）
        // 跟 invalidTokenMessage 参数一样，它也会被传递给 ctx.throw，用于抛出错误和拒绝请求。
        invalidTokenStatusCode: 403,
        // 排除的请求方法，默认值为：[&#39;GET&#39;, &#39;HEAD&#39;, &#39;OPTIONS&#39;]。
        excludedMethods: [&#39;GET&#39;, &#39;HEAD&#39;, &#39;OPTIONS&#39;],
        // 是否禁止通过查询字符串传递 _csrf 校验 token，默认值为 false
        // 如果校验 token 出现在 URL 中，则可能会通过 Referer 泄露，应尽量把 Token 放在表单中，把敏感操作由 GET 改为 POST。
        disableQuery: false
      },
      opts
    );

    // 生成token generation/verification instance
    this.tokens = csrf(opts);
    // 早期很多这样的中间件写法、对接koa中间件
    return this.middleware.bind(this);
  }

  // koa中间件
  middleware(ctx, next) {
    // __defineGetter__ API已经不推荐使用
    // 在ctx上挂载csrf属性。
    // 当读取ctx.csrf会执行该回调
    ctx.__defineGetter__(&#39;csrf&#39;, () => {
      // 如果已经存在直接返回、避免多次生成
      if (ctx._csrf) {
        return ctx._csrf;
      }
      // csrf依赖于koa session
      if (!ctx.session) {
        return null;
      }

      // 生成一个secret存储在ctx.session.secret
      if (!ctx.session.secret) {
        ctx.session.secret = this.tokens.secretSync();
      }
      // 根据上述的secret生成csrf toke存到ctx._csrf
      // 一般非框架本身属性，都建议_xx表示私有
      ctx._csrf = this.tokens.create(ctx.session.secret);
      // 返回
      return ctx._csrf;
    });

    // 挂栽ctx.response.csrf属性
    ctx.response.__defineGetter__(&#39;csrf&#39;, () => ctx.csrf);

    // 如果是请求方法黑名单直接不处理
    if (this.opts.excludedMethods.indexOf(ctx.method) !== -1) {
      return next();
    }

    if (!ctx.session.secret) {
      ctx.session.secret = this.tokens.secretSync();
    }

    // 从ctx.request.body取出客户端传递过来的_csrf token
    // 因此依赖于koa-bodyparser类库
    const bodyToken =
      ctx.request.body && typeof ctx.request.body._csrf === &#39;string&#39;
        ? ctx.request.body._csrf
        : false;

    // 除了从body获取token
    // 支持从ctx.query._csrf即get方法查询字符串
    // 支持从请求头获取 &#39;csrf-token&#39;、&#39;xsrf-token&#39;、&#39;x-csrf-token&#39;、&#39;x-xsrf-token&#39;
    const token =
      bodyToken ||
      (!this.opts.disableQuery && ctx.query && ctx.query._csrf) ||
      ctx.get(&#39;csrf-token&#39;) ||
      ctx.get(&#39;xsrf-token&#39;) ||
      ctx.get(&#39;x-csrf-token&#39;) ||
      ctx.get(&#39;x-xsrf-token&#39;);

      // 如果获取失败、根据配置对象的信息、抛出异常
    if (!token) {
      return ctx.throw(
        this.opts.invalidTokenStatusCode,
        typeof this.opts.invalidTokenMessage === &#39;function&#39;
          ? this.opts.invalidTokenMessage(ctx)
          : this.opts.invalidTokenMessage
      );
    }

    // 校验token失败
    if (!this.tokens.verify(ctx.session.secret, token)) {
      return ctx.throw(
        this.opts.invalidTokenStatusCode,
        typeof this.opts.invalidTokenMessage === &#39;function&#39;
          ? this.opts.invalidTokenMessage(ctx)
          : this.opts.invalidTokenMessage
      );
    }
    // 校验成功
    return next();
  }
}

module.exports = CSRF;

다음 호에서는 더 많은 관련 로직을 처리하는 csrf 라이브러리에 대해 살펴보겠습니다.

오늘은 여기까지입니다. 다음에 뵙겠습니다.

ps: node에도 관심이 있으시다면 제 공식 계정인 xyz 프로그래밍 다이어리를 팔로우해주세요.

관련 기사

자바 스크립트 행동 : 실제 예제 및 프로젝트Apr 19, 2025 am 12:13 AM

실제 세계에서 JavaScript의 응용 프로그램에는 프론트 엔드 및 백엔드 개발이 포함됩니다. 1) DOM 운영 및 이벤트 처리와 관련된 TODO 목록 응용 프로그램을 구축하여 프론트 엔드 애플리케이션을 표시합니다. 2) Node.js를 통해 RESTFULAPI를 구축하고 Express를 통해 백엔드 응용 프로그램을 시연하십시오.

JavaScript 및 웹 : 핵심 기능 및 사용 사례Apr 18, 2025 am 12:19 AM

웹 개발에서 JavaScript의 주요 용도에는 클라이언트 상호 작용, 양식 검증 및 비동기 통신이 포함됩니다. 1) DOM 운영을 통한 동적 컨텐츠 업데이트 및 사용자 상호 작용; 2) 사용자가 사용자 경험을 향상시키기 위해 데이터를 제출하기 전에 클라이언트 확인이 수행됩니다. 3) 서버와의 진실한 통신은 Ajax 기술을 통해 달성됩니다.

JavaScript 엔진 이해 : 구현 세부 사항Apr 17, 2025 am 12:05 AM

보다 효율적인 코드를 작성하고 성능 병목 현상 및 최적화 전략을 이해하는 데 도움이되기 때문에 JavaScript 엔진이 내부적으로 작동하는 방식을 이해하는 것은 개발자에게 중요합니다. 1) 엔진의 워크 플로에는 구문 분석, 컴파일 및 실행; 2) 실행 프로세스 중에 엔진은 인라인 캐시 및 숨겨진 클래스와 같은 동적 최적화를 수행합니다. 3) 모범 사례에는 글로벌 변수를 피하고 루프 최적화, Const 및 Lets 사용 및 과도한 폐쇄 사용을 피하는 것이 포함됩니다.

Python vs. JavaScript : 학습 곡선 및 사용 편의성Apr 16, 2025 am 12:12 AM

Python은 부드러운 학습 곡선과 간결한 구문으로 초보자에게 더 적합합니다. JavaScript는 가파른 학습 곡선과 유연한 구문으로 프론트 엔드 개발에 적합합니다. 1. Python Syntax는 직관적이며 데이터 과학 및 백엔드 개발에 적합합니다. 2. JavaScript는 유연하며 프론트 엔드 및 서버 측 프로그래밍에서 널리 사용됩니다.

Python vs. JavaScript : 커뮤니티, 라이브러리 및 리소스Apr 15, 2025 am 12:16 AM

Python과 JavaScript는 커뮤니티, 라이브러리 및 리소스 측면에서 고유 한 장점과 단점이 있습니다. 1) Python 커뮤니티는 친절하고 초보자에게 적합하지만 프론트 엔드 개발 리소스는 JavaScript만큼 풍부하지 않습니다. 2) Python은 데이터 과학 및 기계 학습 라이브러리에서 강력하며 JavaScript는 프론트 엔드 개발 라이브러리 및 프레임 워크에서 더 좋습니다. 3) 둘 다 풍부한 학습 리소스를 가지고 있지만 Python은 공식 문서로 시작하는 데 적합하지만 JavaScript는 MDNWebDocs에서 더 좋습니다. 선택은 프로젝트 요구와 개인적인 이익을 기반으로해야합니다.

C/C에서 JavaScript까지 : 모든 것이 어떻게 작동하는지Apr 14, 2025 am 12:05 AM

C/C에서 JavaScript로 전환하려면 동적 타이핑, 쓰레기 수집 및 비동기 프로그래밍으로 적응해야합니다. 1) C/C는 수동 메모리 관리가 필요한 정적으로 입력 한 언어이며 JavaScript는 동적으로 입력하고 쓰레기 수집이 자동으로 처리됩니다. 2) C/C를 기계 코드로 컴파일 해야하는 반면 JavaScript는 해석 된 언어입니다. 3) JavaScript는 폐쇄, 프로토 타입 체인 및 약속과 같은 개념을 소개하여 유연성과 비동기 프로그래밍 기능을 향상시킵니다.

JavaScript 엔진 : 구현 비교Apr 13, 2025 am 12:05 AM

각각의 엔진의 구현 원리 및 최적화 전략이 다르기 때문에 JavaScript 엔진은 JavaScript 코드를 구문 분석하고 실행할 때 다른 영향을 미칩니다. 1. 어휘 분석 : 소스 코드를 어휘 단위로 변환합니다. 2. 문법 분석 : 추상 구문 트리를 생성합니다. 3. 최적화 및 컴파일 : JIT 컴파일러를 통해 기계 코드를 생성합니다. 4. 실행 : 기계 코드를 실행하십시오. V8 엔진은 즉각적인 컴파일 및 숨겨진 클래스를 통해 최적화하여 Spidermonkey는 유형 추론 시스템을 사용하여 동일한 코드에서 성능이 다른 성능을 제공합니다.

브라우저 너머 : 실제 세계의 JavaScriptApr 12, 2025 am 12:06 AM

실제 세계에서 JavaScript의 응용 프로그램에는 서버 측 프로그래밍, 모바일 애플리케이션 개발 및 사물 인터넷 제어가 포함됩니다. 1. 서버 측 프로그래밍은 Node.js를 통해 실현되며 동시 요청 처리에 적합합니다. 2. 모바일 애플리케이션 개발은 재교육을 통해 수행되며 크로스 플랫폼 배포를 지원합니다. 3. Johnny-Five 라이브러리를 통한 IoT 장치 제어에 사용되며 하드웨어 상호 작용에 적합합니다.

See all articles

핫 AI 도구

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

AI 옷 제거제

AI Hentai Generator

AI Hentai를 무료로 생성하십시오.

뜨거운 도구

mPDF

mPDF는 UTF-8로 인코딩된 HTML에서 PDF 파일을 생성할 수 있는 PHP 라이브러리입니다. 원저자인 Ian Back은 자신의 웹 사이트에서 "즉시" PDF 파일을 출력하고 다양한 언어를 처리하기 위해 mPDF를 작성했습니다. HTML2FPDF와 같은 원본 스크립트보다 유니코드 글꼴을 사용할 때 속도가 느리고 더 큰 파일을 생성하지만 CSS 스타일 등을 지원하고 많은 개선 사항이 있습니다. RTL(아랍어, 히브리어), CJK(중국어, 일본어, 한국어)를 포함한 거의 모든 언어를 지원합니다. 중첩된 블록 수준 요소(예: P, DIV)를 지원합니다.