分享一個實用Nodejs npm套件：koa-csrf-js教程-PHP中文網

首頁

web前端

js教程

分享一個實用Nodejs npm套件：koa-csrf

青灯夜游

Apr 25, 2021 am 10:09 AM

node.js

本篇文章跟大家分享一個實用Nodejs npm套件---koa-csrf。有一定的參考價值，有需要的朋友可以參考一下，希望對大家有幫助。

分享一個實用Nodejs npm套件：koa-csrf

koa-csrf是用來防止csrf攻擊的koa中介軟體。

當然關於什麼是csrf、以及如何預防這裡就不贅述了，有興趣的可以閱讀understanding-csrf。 egg處理csrf方案。

首先我們來看個簡單範例：

const router = require(&#39;koa-router&#39;)();
const CSRF = require(&#39;koa-csrf&#39;);
const csrfMD = new CSRF({
  invalidSessionSecretMessage: &#39;Invalid session secret&#39;,
  invalidTokenMessage: &#39;Invalid CSRF token&#39;,
  invalidTokenStatusCode: 403,
});

router
  .get(&#39;/&#39;,csrfMD,async (ctx, next) => {
    ctx.cookies.set(&#39;cid&#39;,&#39;1234&#39;, cookieSet);
    // 下发csrf token
    await ctx.render(&#39;index&#39;, {
      title: &#39;EJS !&#39;,
      csrf: ctx.csrf
    });
  })
  .post(&#39;/post&#39;, csrfMD ,async (ctx, next) => {
    console.log(ctx.method);
    ctx.session.email = ctx.request.body.email;
    ctx.session.name = ctx.request.body.name;
    ctx.redirect(&#39;/&#39;);
  })

module.exports = router;

簡單理解其工作流程:

客戶端請求頁面：

根據secret產生csrf token，存到ctx._csrf;
下發csrf token到客戶端

使用者寫入操作，例如發送post 請求時:

服務端從目前session找到secret 值;
伺服器用secret與接收的csrf token進行校驗；

koa-csrf

koa-csrf中關於token的建立、校驗邏輯都是在這個

csrf套件裡。

const csrf = require(&#39;csrf&#39;);

class CSRF {
  constructor(opts = {}) {
    // opts配置对象、并且有提供默认配置
    // 允许自定义配置对象进行覆盖
    this.opts = Object.assign(
      {
        // 使 koa 抛出的错误信息内容，默认值为：&#39;Invalid CSRF token&#39;。
        // 它可以是一个接收 ctx 作为参数的函数，函数最后返回错误信息内容。
        invalidTokenMessage: &#39;Invalid CSRF token&#39;,
        // 验证失败时的响应状态码，默认值为：403（Forbidden）
        // 跟 invalidTokenMessage 参数一样，它也会被传递给 ctx.throw，用于抛出错误和拒绝请求。
        invalidTokenStatusCode: 403,
        // 排除的请求方法，默认值为：[&#39;GET&#39;, &#39;HEAD&#39;, &#39;OPTIONS&#39;]。
        excludedMethods: [&#39;GET&#39;, &#39;HEAD&#39;, &#39;OPTIONS&#39;],
        // 是否禁止通过查询字符串传递 _csrf 校验 token，默认值为 false
        // 如果校验 token 出现在 URL 中，则可能会通过 Referer 泄露，应尽量把 Token 放在表单中，把敏感操作由 GET 改为 POST。
        disableQuery: false
      },
      opts
    );

    // 生成token generation/verification instance
    this.tokens = csrf(opts);
    // 早期很多这样的中间件写法、对接koa中间件
    return this.middleware.bind(this);
  }

  // koa中间件
  middleware(ctx, next) {
    // __defineGetter__ API已经不推荐使用
    // 在ctx上挂载csrf属性。
    // 当读取ctx.csrf会执行该回调
    ctx.__defineGetter__(&#39;csrf&#39;, () => {
      // 如果已经存在直接返回、避免多次生成
      if (ctx._csrf) {
        return ctx._csrf;
      }
      // csrf依赖于koa session
      if (!ctx.session) {
        return null;
      }

      // 生成一个secret存储在ctx.session.secret
      if (!ctx.session.secret) {
        ctx.session.secret = this.tokens.secretSync();
      }
      // 根据上述的secret生成csrf toke存到ctx._csrf
      // 一般非框架本身属性，都建议_xx表示私有
      ctx._csrf = this.tokens.create(ctx.session.secret);
      // 返回
      return ctx._csrf;
    });

    // 挂栽ctx.response.csrf属性
    ctx.response.__defineGetter__(&#39;csrf&#39;, () => ctx.csrf);

    // 如果是请求方法黑名单直接不处理
    if (this.opts.excludedMethods.indexOf(ctx.method) !== -1) {
      return next();
    }

    if (!ctx.session.secret) {
      ctx.session.secret = this.tokens.secretSync();
    }

    // 从ctx.request.body取出客户端传递过来的_csrf token
    // 因此依赖于koa-bodyparser类库
    const bodyToken =
      ctx.request.body && typeof ctx.request.body._csrf === &#39;string&#39;
        ? ctx.request.body._csrf
        : false;

    // 除了从body获取token
    // 支持从ctx.query._csrf即get方法查询字符串
    // 支持从请求头获取 &#39;csrf-token&#39;、&#39;xsrf-token&#39;、&#39;x-csrf-token&#39;、&#39;x-xsrf-token&#39;
    const token =
      bodyToken ||
      (!this.opts.disableQuery && ctx.query && ctx.query._csrf) ||
      ctx.get(&#39;csrf-token&#39;) ||
      ctx.get(&#39;xsrf-token&#39;) ||
      ctx.get(&#39;x-csrf-token&#39;) ||
      ctx.get(&#39;x-xsrf-token&#39;);

      // 如果获取失败、根据配置对象的信息、抛出异常
    if (!token) {
      return ctx.throw(
        this.opts.invalidTokenStatusCode,
        typeof this.opts.invalidTokenMessage === &#39;function&#39;
          ? this.opts.invalidTokenMessage(ctx)
          : this.opts.invalidTokenMessage
      );
    }

    // 校验token失败
    if (!this.tokens.verify(ctx.session.secret, token)) {
      return ctx.throw(
        this.opts.invalidTokenStatusCode,
        typeof this.opts.invalidTokenMessage === &#39;function&#39;
          ? this.opts.invalidTokenMessage(ctx)
          : this.opts.invalidTokenMessage
      );
    }
    // 校验成功
    return next();
  }
}

module.exports = CSRF;

下一期我們看下csrf函式庫，這個裡面處理更多相關邏輯。

好了，今天就到這結束了，下期見。

ps：如果你對node也有興趣，歡迎追蹤我公眾號：xyz程式設計日記。

相關推薦：《

nodejs 教學》

以上是分享一個實用Nodejs npm套件：koa-csrf的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文轉載於：掘金社区。如有侵權，請聯絡admin@php.cn刪除

Vercel是什么？怎么部署Node服务？May 07, 2022 pm 09:34 PM

Vercel是什么？本篇文章带大家了解一下Vercel，并介绍一下在Vercel中部署 Node 服务的方法，希望对大家有所帮助！

node.js gm是什么Jul 12, 2022 pm 06:28 PM

gm是基于node.js的图片处理插件，它封装了图片处理工具GraphicsMagick（GM）和ImageMagick（IM），可使用spawn的方式调用。gm插件不是node默认安装的，需执行“npm install gm -S”进行安装才可使用。

一文解析package.json和package-lock.jsonSep 01, 2022 pm 08:02 PM

本篇文章带大家详解package.json和package-lock.json文件，希望对大家有所帮助！

分享一个Nodejs web框架：FastifyAug 04, 2022 pm 09:23 PM

本篇文章给大家分享一个Nodejs web框架：Fastify，简单介绍一下Fastify支持的特性、Fastify支持的插件以及Fastify的使用方法，希望对大家有所帮助！

怎么使用pkg将Node.js项目打包为可执行文件？Jul 26, 2022 pm 07:33 PM

如何用pkg打包nodejs可执行文件？下面本篇文章给大家介绍一下使用pkg将Node.js项目打包为可执行文件的方法，希望对大家有所帮助！

node爬取数据实例：聊聊怎么抓取小说章节May 02, 2022 am 10:00 AM

node怎么爬取数据？下面本篇文章给大家分享一个node爬虫实例，聊聊利用node抓取小说章节的方法，希望对大家有所帮助！

手把手带你使用Node.js和adb开发一个手机备份小工具Apr 14, 2022 pm 09:06 PM

本篇文章给大家分享一个Node实战，介绍一下使用Node.js和adb怎么开发一个手机备份小工具，希望对大家有所帮助！

图文详解node.js如何构建web服务器Aug 08, 2022 am 10:27 AM

先介绍node.js的安装，再介绍使用node.js构建一个简单的web服务器，最后通过一个简单的示例，演示网页与服务器之间的数据交互的实现。

See all articles

熱AI工具

熱工具

Damn Vulnerable Web App (DVWA) 是一個PHP/MySQL的Web應用程序，非常容易受到攻擊。它的主要目標是成為安全專業人員在合法環境中測試自己的技能和工具的輔助工具，幫助Web開發人員更好地理解保護網路應用程式的過程，並幫助教師/學生在課堂環境中教授/學習Web應用程式安全性。 DVWA的目標是透過簡單直接的介面練習一些最常見的Web漏洞，難度各不相同。請注意，該軟體中