Express.js 中的防止 CSRF 的实现方法-JavaScript中文网-JavaScript教程资源分享门户

跨站点请求伪造 (CSRF) 是一种常见的 Web 安全漏洞，攻击者可以利用该漏洞伪造用户的身份，以用户的名义执行未经授权的操作。在一些重要的应用场景，特别是需要用户身份认证的应用中，防止 CSRF 攻击是非常重要的。

在本文中，我们将介绍一个使用 Express.js 中防止 CSRF 攻击的实现方法，并提供示例代码和深度学习指导。

什么是 CSRF？

跨站点请求伪造 (CSRF)，也叫 XSRF，是一种常见的 Web 安全漏洞，攻击者可以利用该漏洞伪造用户的身份，以用户的名义执行未经授权的操作。CSRF 攻击可以通过恶意链接或者按钮等方式发起，一般可以利用用户的浏览器保存的 cookie 或者其他身份认证信息来执行攻击。

下面是一个简单的 CSRF 攻击的示例，假设网站的一个添加文章的接口是这么写的：

app.post('/articles/add', (req, res) => {
  const { title, content } = req.body;
  // 存储文章到数据库中
  // ...
  return res.redirect('/');
})

攻击者可以在其他网站上构造一个超链接：

<a href="http://vulnerable-site.com/articles/add?title=Attack&content=Attack" target="_blank">Click Here</a>

当用户在浏览器中点击这个链接时，浏览器会自动向 vulnerable-site.com 发送添加文章的请求，由于用户在 vulnerable-site.com 中已经登录了，所以请求中携带的 cookie 仍然是有效的。这样，攻击者就成功地伪造了用户的身份，在用户不知情的情况下，向网站添加了一篇文章。

Express.js 中防止 CSRF 的实现方法

Express.js 是一个基于 Node.js 的 Web 开发框架，提供了许多开发 Web 应用程序的工具。在 Express.js 中，防止 CSRF 攻击的实现通常包括以下几个步骤：

安装和引入 csurf 模块
初始化 csurf 中间件
设置 csurf 的过期时间和 cookie 名称
在表单中添加 CSRF Token
检测 CSRF Token

第一步：安装和引入 csurf 模块

在 Express.js 中使用 csurf 模块来防止 CSRF 攻击，首先需要安装 csurf 模块：

npm install csurf

然后在 Express.js 应用中引入 csurf 模块：

const csrf = require('csurf');

第二步：初始化 csurf 中间件

在使用 csurf 模块之前，需要初始化 csurf 中间件，代码如下：

const csrfProtection = csrf({ cookie: true });

该代码中，通过 csrf 函数初始化了一个 CSRF 中间件，然后将它赋值给了 csrfProtection 变量。

第三步：设置 csurf 的过期时间和 cookie 名称

在初始化 CSRF 中间件之后，需要设置 csurf 的过期时间和 cookie 名称。在 Express.js 中，可以通过 app.set 函数来设置全局的 csurf 参数，代码如下：

app.set('trust proxy', 1); // trust first proxy
app.set('csrf cookie name', 'XSRF-TOKEN');
app.set('csrf header name', 'X-XSRF-TOKEN');
app.use(csrfProtection);

在上面的代码中，我们设置了三个全局参数：

trust proxy：表示信任第一个代理服务器，这样，我们的应用就可以在生产环境中访问。
csrf cookie name：表示生成的 CSRF Token 存储在 Cookie 中的名称，默认为 XSRF-TOKEN。
csrf header name：表示客户端发送请求时，发送 CSRF Token 的请求头名称，默认为 X-XSRF-TOKEN。

第四步：在表单中添加 CSRF Token

在设置完全局参数之后，我们需要在所有需要防止 CSRF 攻击的表单中添加 CSRF Token。在 Express.js 中，可以通过 res.locals 对象来将 CSRF Token 传递给模板引擎，代码如下：

-- -------------------- ---- -------
----------------- ----- ---- -- -
  -------------------- - ----------------
  --------------------
---

------------------ ----- ---- -- -
  -- -- ---- -----
  -- --------------- --- ---------------- -
    ------ ----------------------------- ---- --------
  -
  -- ---
---

在上面的代码中，我们在 res.locals 对象中添加了一个 csrfToken 属性，该属性的值是 req.csrfToken() 返回的 CSRF Token。然后，在登录表单中通过模板引擎将 CSRF Token 输出到隐藏的 input 标签中。

第五步：检测 CSRF Token

最后一步是在 Express.js 中添加一个中间件来检测 CSRF Token，如果 CSRF Token 不匹配，则返回 403 状态码，代码如下：

app.use((err, req, res, next) => {
  if (err.code !== 'EBADCSRFTOKEN') return next(err);

  // handle CSRF token errors here
  return res.status(403).send('Invalid CSRF Token');
})

在上面的代码中，我们定义了一个全局的错误处理中间件，用来处理 CSRF Token 不匹配的错误。当错误码为 EBADCSRFTOKEN 时，会返回 403 状态码，并且输出错误信息。

示例代码

下面是一个使用 Express.js 和 csurf 模块来防止 CSRF 攻击的示例代码：

-- -------------------- ---- -------
----- ------- - -------------------
----- ---- - -----------------
----- ------------ - -------------------------
----- ---------- - -----------------------
----- ------- - ---------------------------
----- ----------- - --------------------------------

----- --- - ----------
----- -------------- - ------ ------- ---- ---

-- ------
-------------- ------- --- -- ----- ----- -----
------------- ------ ------ --------------
------------- ------ ------ ----------------

-- -- ------ -----
------------------------

-- -- ------- ---
-----------------
  ------ --- -------------
    ------------ -------- -- ----- ------- ------- ----- ---
  ---
  ------- -------------------
  ------- ------
  ------------------ -----
  ------- -
    ------- -- - -- - ----- -- - ----
    --------- -----
    --------- -----
    ------- -------------- --- ------------
  -
----

-- -- ----------- ---
------------------------------- --------- ----- ---

-- -- ---- ---
------------------------

-- - ---- ----- -------
------------- ---- ----- -- -
  -------------------- - ----------------
  -------
---

-- -- ---- -----
------------- ---- ---- ----- -- -
  -- --------- --- ---------------- ------ ----------

  -- ------ ---- ----- ------ ----
  ------ ----------------------------- ---- --------
---

-- ------
----------------- ----- ---- -- -
  --------------------
---

-- ------
------------------ ----- ---- -- -
  -- -- ---- -----
  -- --------------- --- ---------------- -
    ------ ----------------------------- ---- --------
  -

  -- ------
  ----- - --------- -------- - - ---------
  -- ---
---

-----------------
------------------- -- --------- -- ---- -------

总结

在本文中，我们介绍了如何在 Express.js 中使用 csurf 模块来防止 CSRF 攻击。防止 CSRF 攻击是 Web 应用程序安全的一个非常重要的方面，特别是在身份认证的应用场景中。如果您的应用中涉及到用户身份认证或关键操作，建议您使用本文介绍的方法来增强应用程序的安全性。

来源：JavaScript中文网，转载请注明来源 https://www.javascriptcn.com/post/6460b0b3968c7c53b02543b3