Express.js 中的防止 CSRF 的实现方法

面试官:小伙子,你的数组去重方式惊艳到我了

跨站点请求伪造 (CSRF) 是一种常见的 Web 安全漏洞,攻击者可以利用该漏洞伪造用户的身份,以用户的名义执行未经授权的操作。在一些重要的应用场景,特别是需要用户身份认证的应用中,防止 CSRF 攻击是非常重要的。

在本文中,我们将介绍一个使用 Express.js 中防止 CSRF 攻击的实现方法,并提供示例代码和深度学习指导。

什么是 CSRF?

跨站点请求伪造 (CSRF),也叫 XSRF,是一种常见的 Web 安全漏洞,攻击者可以利用该漏洞伪造用户的身份,以用户的名义执行未经授权的操作。CSRF 攻击可以通过恶意链接或者按钮等方式发起,一般可以利用用户的浏览器保存的 cookie 或者其他身份认证信息来执行攻击。

下面是一个简单的 CSRF 攻击的示例,假设网站的一个添加文章的接口是这么写的:

------------------------- ----- ---- -- -
  ----- - ------ ------- - - ---------
  -- ---------
  -- ---
  ------ ------------------
--

攻击者可以在其他网站上构造一个超链接:

-- -------------------------------------------------------------------------- --------------------- --------

当用户在浏览器中点击这个链接时,浏览器会自动向 vulnerable-site.com 发送添加文章的请求,由于用户在 vulnerable-site.com 中已经登录了,所以请求中携带的 cookie 仍然是有效的。这样,攻击者就成功地伪造了用户的身份,在用户不知情的情况下,向网站添加了一篇文章。

Express.js 中防止 CSRF 的实现方法

Express.js 是一个基于 Node.js 的 Web 开发框架,提供了许多开发 Web 应用程序的工具。在 Express.js 中,防止 CSRF 攻击的实现通常包括以下几个步骤:

  1. 安装和引入 csurf 模块
  2. 初始化 csurf 中间件
  3. 设置 csurf 的过期时间和 cookie 名称
  4. 在表单中添加 CSRF Token
  5. 检测 CSRF Token

第一步:安装和引入 csurf 模块

在 Express.js 中使用 csurf 模块来防止 CSRF 攻击,首先需要安装 csurf 模块:

--- ------- -----

然后在 Express.js 应用中引入 csurf 模块:

----- ---- - -----------------

第二步:初始化 csurf 中间件

在使用 csurf 模块之前,需要初始化 csurf 中间件,代码如下:

----- -------------- - ------ ------- ---- ---

该代码中,通过 csrf 函数初始化了一个 CSRF 中间件,然后将它赋值给了 csrfProtection 变量。

第三步:设置 csurf 的过期时间和 cookie 名称

在初始化 CSRF 中间件之后,需要设置 csurf 的过期时间和 cookie 名称。在 Express.js 中,可以通过 app.set 函数来设置全局的 csurf 参数,代码如下:

-------------- ------- --- -- ----- ----- -----
------------- ------ ------ --------------
------------- ------ ------ ----------------
------------------------

在上面的代码中,我们设置了三个全局参数:

  • trust proxy:表示信任第一个代理服务器,这样,我们的应用就可以在生产环境中访问。
  • csrf cookie name:表示生成的 CSRF Token 存储在 Cookie 中的名称,默认为 XSRF-TOKEN。
  • csrf header name:表示客户端发送请求时,发送 CSRF Token 的请求头名称,默认为 X-XSRF-TOKEN。

第四步:在表单中添加 CSRF Token

在设置完全局参数之后,我们需要在所有需要防止 CSRF 攻击的表单中添加 CSRF Token。在 Express.js 中,可以通过 res.locals 对象来将 CSRF Token 传递给模板引擎,代码如下:

----------------- ----- ---- -- -
  -------------------- - ----------------
  --------------------
---

------------------ ----- ---- -- -
  -- -- ---- -----
  -- --------------- --- ---------------- -
    ------ ----------------------------- ---- --------
  -
  -- ---
---

在上面的代码中,我们在 res.locals 对象中添加了一个 csrfToken 属性,该属性的值是 req.csrfToken() 返回的 CSRF Token。然后,在登录表单中通过模板引擎将 CSRF Token 输出到隐藏的 input 标签中。

第五步:检测 CSRF Token

最后一步是在 Express.js 中添加一个中间件来检测 CSRF Token,如果 CSRF Token 不匹配,则返回 403 状态码,代码如下:

------------- ---- ---- ----- -- -
  -- --------- --- ---------------- ------ ----------

  -- ------ ---- ----- ------ ----
  ------ ----------------------------- ---- --------
--

在上面的代码中,我们定义了一个全局的错误处理中间件,用来处理 CSRF Token 不匹配的错误。当错误码为 EBADCSRFTOKEN 时,会返回 403 状态码,并且输出错误信息。

示例代码

下面是一个使用 Express.js 和 csurf 模块来防止 CSRF 攻击的示例代码:

----- ------- - -------------------
----- ---- - -----------------
----- ------------ - -------------------------
----- ---------- - -----------------------
----- ------- - ---------------------------
----- ----------- - --------------------------------

----- --- - ----------
----- -------------- - ------ ------- ---- ---

-- ------
-------------- ------- --- -- ----- ----- -----
------------- ------ ------ --------------
------------- ------ ------ ----------------

-- -- ------ -----
------------------------

-- -- ------- ---
-----------------
  ------ --- -------------
    ------------ -------- -- ----- ------- ------- ----- ---
  ---
  ------- -------------------
  ------- ------
  ------------------ -----
  ------- -
    ------- -- - -- - ----- -- - ----
    --------- -----
    --------- -----
    ------- -------------- --- ------------
  -
----

-- -- ----------- ---
------------------------------- --------- ----- ---

-- -- ---- ---
------------------------

-- - ---- ----- -------
------------- ---- ----- -- -
  -------------------- - ----------------
  -------
---

-- -- ---- -----
------------- ---- ---- ----- -- -
  -- --------- --- ---------------- ------ ----------

  -- ------ ---- ----- ------ ----
  ------ ----------------------------- ---- --------
---

-- ------
----------------- ----- ---- -- -
  --------------------
---

-- ------
------------------ ----- ---- -- -
  -- -- ---- -----
  -- --------------- --- ---------------- -
    ------ ----------------------------- ---- --------
  -

  -- ------
  ----- - --------- -------- - - ---------
  -- ---
---

-----------------
------------------- -- --------- -- ---- -------

总结

在本文中,我们介绍了如何在 Express.js 中使用 csurf 模块来防止 CSRF 攻击。防止 CSRF 攻击是 Web 应用程序安全的一个非常重要的方面,特别是在身份认证的应用场景中。如果您的应用中涉及到用户身份认证或关键操作,建议您使用本文介绍的方法来增强应用程序的安全性。

来源:JavaScript中文网 ,转载请联系管理员! 本文地址:https://www.javascriptcn.com/post/6460b0b3968c7c53b02543b3

阅读全文

猜你喜欢

  • 使用 Headless CMS 简化博客网站搭建

    在传统的博客网站搭建模式中,通常需要使用一个完整的 CMS 系统,如 WordPress 或 Joomla 等,它们提供了完整的前端和后端功能,包括用户管理、文章发布、样式自定义等。

    5 小时前
  • Cypress 错误解决:如何解决 No Such Element 错误

    Cypress 是一个基于 JavaScript 的前端自动化测试框架,它可以帮助我们高效地编写和运行自动化测试用例。然而,在使用 Cypress 进行测试的过程中,我们有时会遇到 No Such E...

    5 小时前
  • Mocha 测试中怎么样才能只执行部分测试用例?

    在使用 Mocha 进行测试时,你可能需要只运行部分测试用例而不是全部运行。这可能是因为你的测试套件非常大,或者你想只测试一部分代码。本文将介绍如何在 Mocha 中只执行部分测试用例,并提供一些示例...

    5 小时前
  • IOS 开发:如何优化本地存储

    本地存储是一种在移动应用程序和网站开发中常见的技术,它可以在用户离线时继续提供信息、内容和功能。在 IOS 开发中,使用本地存储的最佳方法是使用内置数据库 SQLite。

    5 小时前
  • TypeScript 中使用 let 和 const 定义变量和常量

    介绍 TypeScript 是一种静态类型检查器,它扩展了 JavaScript 并使其更易于使用和维护。在 TypeScript 中,我们可以使用 let 和 const 来定义变量和常量。

    5 小时前
  • 如何修复 CSS Reset 对滚动条样式的影响?

    在前端开发中,CSS Reset 是一个非常常见的技术。 它的原理是通过将浏览器的默认样式重置为一致的标准,以确保不同浏览器之间的样式相同。 但是 CSS Reset 常常会对浏览器滚动条样式造成影响...

    5 小时前
  • 在 Fastify 中构建 JWT 认证服务器

    引言 JWT(JSON Web Tokens)是一种用于安全交换信息的开放式标准,它可以在多个服务之间传递认证信息。在构建 Web 应用程序时,往往需要在请求和响应之间进行身份验证,JWT 作为一种有...

    5 小时前
  • 如何使用 ES6 中的数组方法简化代码

    如何使用 ES6 中的数组方法简化代码 随着 JavaScript 语言的发展,ES6 中新增的许多数组方法大大简化了开发人员的编程工作。这些方法可以让我们更容易地处理数据和操作数组,同时大大增加了代...

    5 小时前
  • SPA 开发中前后端分离的优缺点及应用实践

    单页应用(Single Page Application,SPA)是一种现代化的 Web 应用程序开发模式,它的一个特点就是前后端分离。本文将介绍 SPA 开发中前后端分离的优缺点,以及如何实践前后端...

    5 小时前
  • 使用 Enzyme + Jest 测试通过 HOC 形式创建的 React 组件

    在 React 中,高阶组件(Higher Order Component,简称 HOC)是一种非常常见的模式,它允许我们将组件逻辑重用在多个组件之间。使用 HOC 可以让我们更好地管理组件间的复杂度...

    5 小时前
  • PM2 与 Docker:构建可伸缩的 Node.js 应用程序

    前言 在开发现代 Web 应用程序时,Node.js 已成为最受欢迎的开发语言之一。Node.js 可以大力发挥其高度可扩展的架构,以构建高性能的 Web 应用程序。

    5 小时前
  • Material Design 中主题颜色的修改与自定义方法

    Material Design 是 Google 在 2014 年发布的一种全新的平面设计语言,旨在提供一个简洁、明晰、具有层次的用户界面设计风格。该设计语言使用明亮的色彩、深入的阴影效果、多种类型的...

    5 小时前
  • CSS Grid 布局问题集锦

    CSS Grid 布局是一种基于网格的布局系统,可以帮助前端开发人员更轻松地构建自适应、灵活且可复用的界面。尽管 CSS Grid 布局越来越普及,但是仍然存在一些问题需要面对和解决。

    5 小时前
  • 在 TailwindCSS 中实现无限滚动加载的技巧

    随着 Web 应用程序的普及,无限滚动加载成为了越来越流行的设计模式。它可以使用户感到更流畅,避免需要单击“下一页”按钮的情况。在 TailwindCSS 中实现无限滚动加载并不难,但是需要了解一些特...

    5 小时前
  • Redux 和 Immutable 数据结构的集成

    Redux 和 Immutable 数据结构的集成 储存和操作状态是前端应用程序的重要组成部分。Redux 和 Immutable 都是流行的前端技术,它们可以帮助处理状态,并提高应用程序的性能。

    5 小时前
  • ECMAScript 2021 和 React:优化性能的新方法

    前言 前端开发涉及到很多复杂的技术,而随着业界不断提升对用户体验的要求,性能优化也成为了前端开发的重点。ECMAScript 2021 和 React 的新功能在性能优化方面提供了一些新的方法,让开发...

    5 小时前
  • 10个ECMAScript 2019的新特性

    ECMAScript是JavaScript的标准规范,每年都会推出新的版本,提供新的特性和语法糖。2019版的ECMAScript已经发布,本篇文章将详细介绍10个新特性,对前端开发有指导意义。

    5 小时前
  • 如何实现无障碍访问依赖动态内容的应用程序?

    随着互联网技术的发展,越来越多的应用程序需要依赖动态内容来提供用户体验,例如 AJAX 加载、单页应用程序等。然而,这些应用程序往往会给残障人士造成访问困难,导致其无法充分利用这些服务。

    5 小时前
  • 构建高可用的 SPA 应用:浏览器兼容解决方案

    单页应用(Single Page Application,SPA)是现代 Web 开发技术的重要组成部分,它可以提供卓越的用户体验和高效的页面加载速度。但是,由于 Web 浏览器市场的多样性,有时候我...

    5 小时前
  • 在 SASS 中使用媒体查询的正确方法

    在SASS中使用媒体查询的正确方法 作为前端开发人员,我们经常需要针对不同的屏幕尺寸和设备类型来优化我们的网页布局和样式。这时候,媒体查询就成了我们必不可少的工具。

    5 小时前

相关推荐