express防止csurf
时间: 2023-09-24 22:02:59 浏览: 46
要防止 CSRF 攻击,可以在 Express 中使用 csurf(CSRF 保护中间件)。csurf 会生成一个 token,将其存储在 cookie 中,并将其发送到客户端。当客户端提交表单时,该 token 会随着请求一起发送到服务器端。服务器端会检查该 token 是否匹配 cookie 中存储的 token,如果不匹配,则拒绝该请求。
在 Express 中使用 csurf,需要先安装它:
```
npm install csurf
```
然后在代码中使用:
```javascript
const csurf = require('csurf');
const cookieParser = require('cookie-parser');
const express = require('express');
const app = express();
app.use(cookieParser());
app.use(csurf({ cookie: true }));
// 在路由中使用 csurf
app.get('/form', (req, res) => {
res.render('form', { csrfToken: req.csrfToken() });
});
app.post('/form', (req, res) => {
// 检查 csrfToken 是否匹配
});
```
在模板中,可以将生成的 csrfToken 添加到表单中:
```html
<form>
<input type="hidden" name="_csrf" value="{{ csrfToken }}">
<!-- 其他表单元素 -->
<button type="submit">提交</button>
</form>
```
这样,客户端提交表单时,就会包含一个名为 `_csrf` 的隐藏字段,其中包含 csurf 生成的 token。服务器端收到请求后,会检查该 token 是否匹配。如果不匹配,则拒绝该请求,从而防止 CSRF 攻击。