egg表单提交csrf验证

最新推荐文章于 2023-01-16 23:31:54 发布
最新推荐文章于 2023-01-16 23:31:54 发布
阅读量9.2k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: eggjs 文章标签: egg csrf 安全认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/bocongbo/article/details/97425759
本文详细介绍了在Egg.js框架中如何实现CSRF防护,包括在中间件中设置全局CSRF变量,前端表单中如何正确使用CSRF,以及在特定API中忽略CSRF验证的方法。

1、egg在进行表单提交时,会验证csrf,以防止网站被攻击。

2、在中间件中设置全局csrf变量,并将csrf存在state中,给前端使用

module.exports = options => {
  return async function adminauth(ctx, next) {
    // 定义全局csrf安全认证变量
    ctx.state.csrf = ctx.csrf;
  }
}

3、前端表单代码,添加隐藏的input,将csrf提交

<form method="post" action="/admin/addRole">
  <input type="hidden" name="_csrf" value="<%= csrf %>" />

  <button type="submit" class="btn btn-default">提交</button>
</form>

4、提交表单,在后台接口打印请求参数,即可看到csrf

5、在含有图片上传的表单中,csrf不可以放在隐藏表单域,需要放到action后

6、csrf配置/取消指定api验证(在支付宝与微信支付后,第三方会异步给服务端POST数据,没有csrf字段)

exports.security = {
  csrf: {
    // 判断是否需要 ignore 的方法,请求上下文 context 作为第一个参数
    ignore: ctx => {
      if (ctx.request.url == '/alipay/alipayNotify' || ctx.request.url == '/weixinpay/weixinpayNotify') {
        return true;
      }
      return false;
    }
  }
};

 

表单数据的提交与接收;csrf
weixin_45620570的博客
01-24 592
表单数据的提交与接收 如果要提交上传文件,就要加入那行代码。 注意单选框的name值要一致,比如gender=男,gender=女,这样才可以是单选。 get&post请求 在代码中实现,首先,会在urls中,创建三个路径。第一个是渲染提交表单的页面,第二个,第三个分别是get和post请求的路径。 定义渲染的处理器,里面是一个form.html文件,在templetes中再去...
eggjs 中忽略 CSRF
最新发布
南城
09-02 633
通过以上方法,你可以在 Egg.js 中根据需要忽略 CSRF 保护。选择合适的方法来处理 CSRF 令牌问题,确保在禁用 CSRF 保护时考虑到安全性。
egg设置csrf
weixin_44665610的博客
04-22 1416
eggJS设置csrf 在config/config.default.js中设置 //config/config.default.js module.exports = (appInfo) => { //······ config.security = { csrf: { enable: false, ignoreJSON: true, ...
egg 开启csrf跨域
bigb的博客
12-11 3146
egg 开启csrf跨域 本地调试的时候出现: 2021-12-11 07:57:54,071 WARN 9497 [-/::1/-/2ms POST /home/query/1?name=%E7%8E%8B%E4%BA%94] invalid csrf token. See https://eggjs.org/zh-cn/core/security.html#安全威胁csrf的防范 2021-12-11 07:57:54,072 WARN 9497 [-/::1/-/3ms POST /home/que
CSRF(1)-----定义,原理和防护-----from表单提交数据
Z_Grant的博客
09-22 2632
文章目录一,定义和原理(1)与XSS不同之处(2)CSRF实现的基础前提(3)????CSRF的危害(4)CSRF的利用条件(5)????为什么会有CSRF二,cookie与CSRF(1)浏览器所持有的cookie分为两种:(2)区别(3)与CSRF的关系三,漏洞利用(1)通过GET请求方式发起(2)只能由GET请求发起? 一,定义和原理 CSRF(Cross Site Request Forgery, 跨...
表单提交最常遇到的坑之csrf验证
little_spice的博客
07-30 2333
一说起laravel的表单提交,如果遇到坑,第一反应就是没有加入csrf,这个是绝大多数新手的必经之路!! 加csrf的方式多种多样,一开始比较复杂,后面越来越简单,可以直接用{{csrf_field()}}或者@csrf(我的版本是laravel5.6更早的版本请用hidden方式,自己查一下吧,记不太清了)。加入的位置是form表单的下面 <form action="" m...
egg基础及项目制作
zhao021130的博客
06-30 990
目录 第一节:egg初始化操作和目录介绍... 2第二节:路由和控制器... 2egg中的控制器(controller)作用:... 2get请求获取参数的两种方式... 2第三节:插件... 3Egg.js安装使用egg-view-nunjucks. 3Egg.js安装使用egg-cors. 5第四节:用户登录状态... 7第五节:中间件... 13第六节:数据持久化... 151.概述、sequelize插件、配置sequelize及对应数据类型... 152.Sequelize创建表... .....
Egg.js中间件进行登录鉴权的核心思路
Always-Learning
11-09 629
无论是在实际项目中还是在面试中,只要涉及到项目的问题,注册登录如何验证的问题,总是面试官的宠儿,这一次让我们来系统性的梳理如何完成一次登录的验证。(注意:项目实现的基础是以Egg.js作为后台实现的) 第一步:配置中间件 在middleware下创建adminAuth.js文件 中间件中需要配置csrf全局变量,让表单post的数据能够正常的到达控制器login.js 通过url模块拿到用户不带请求参数的请求路径 首先判断session中userinfo是否存在,并且username是否存在,两个.
Python库 | zope.testbrowser-3.4.1-py2.5.egg
02-21
3. **表单操作**:测试浏览器可以填充和提交表单,这对于测试用户输入验证和处理逻辑至关重要。 4. **cookies管理**:支持设置、读取和删除cookies,模拟用户登录状态和其他依赖于cookie的功能。 5. **URL重定向...
Egg.js与MySQL增删改查实战教程及Postman调试指南
- **中间件机制**:Egg.js 支持中间件,可以方便地实现权限验证、请求日志、数据校验等功能。 - **路由约定**:框架内部集成了路由约定,简化了路由的定义和管理。 - **安全特性**:内置安全机制,比如CSRF防护、XSS...
深入学习Egg.js中的应用部署与运维
Egg.js简介与应用场景 ## 1.1 Egg.js框架概述 Egg.js是Node.js的一种企业级应用框架,它基于Koa.js和Express.js进行了封装和增强,提供了更为丰富和便捷的开发能力。Egg.js的设计哲学是约定大于配置,通过统一的...
egg学习笔记(4)--安全机制csrf
weixin_34015860的博客
09-18 613
简介 CSRF 攻击:伪造用户请求向网站发起恶意请求。 目录结构 controller //controller/postsafe.js 'use strict'; const Controller = require('egg').Controller; class PostsafeController extends Contr...
eggjs&sequelize使用教程一(表单自动验证
米斯特尔曾的博客
12-04 3342
egg 表单验证
Egg.js 使用POST方式提交表单时的 CSRF 安全验证问题
GentleSevenV的博客
11-25 713
Egg.js 在使用POST方式提交表单数据时会自动进行 CSRF 安全验证,invalid csrf token。
egg在 post 请求报错: missing csrf token
weixin_44727080的博客
09-30 2883
前言: 在使用egg编写后台接口,然后进行访问的时候出现了这个错误,从官方的解释可以知道,egg对POST,PUT,DELETE 等请求的时候需要把token带上,如果我们是本地开发,还没有正式的使用,想去掉这个报错,请看下面的解决办法。 官方是这样说的:入口 有两种常见的 csrf 错误: missing csrf token invalid csrf token By defaultegg-securityplugin built in Egg requires ...
【网安】从 egg-security 源码分析 CSRF 问题处理思路
m0_59598029的博客
01-16 559
(跨站请求伪造):在b.com发起a.com的请求,会自动带上a.com的cookie,如果cookie中有敏感的票据,会有攻击者伪造用户发送请求的安全问题。
egg.js中使用mongoose及关闭csrf
宏斌的博客
10-29 615
安装依赖 yarn add egg-mongoose 注册插件 'use strict'; module.exports = { mongoose: { enable: true, package: 'egg-mongoose', } }; 据我的理解这注册什么名 再config文件里就叫什么 配置mongodb config/config.default.js /* eslint valid-jsdoc: "off" */ 'use strict'; const opti
egg.js 中接收post提交数据,以及csrf防范机制
DKcode
04-09 3914
一、在egg中获取post提交的数据,无需依赖其他第三方包 this.ctx.request.body //获取post数据,以对象的形式返回 二、eggcsrf防范机制 获取csrf,由egg随机生成的,每次访问都随机生成一个值 this.ctx.csrf 三、全局生成csrf 在每次渲染页面,都需要传递一个csrf显得比较麻烦时,我们可以通过middleware全局生成一个c...
配置csrf_egg.js web 安全配置
weixin_42628464的博客
01-04 1480
极简 Node.js 入门教程 · 语雀​www.yuque.comegg.js 通过 egg-security 插件提供了大量的 web 安全防护使用框架的安全插件是默认开启的,如果我们想关闭其中一些安全防范,直接设置该项的 enable 属性为 false 即可。例如关闭 xframe 防范: config/config.default.jsexports.security = { xfr...
表单CSRF攻击验证
08-29
表单CSRF攻击验证是为了防止CSRF攻击而采取的一种措施。在客户端向后端请求界面数据时,后端会往响应中的cookie中设置csrf_token的值,并在表单中添加一个隐藏的字段,值也是csrf_token。这样,当用户提交表单时,后端会验证表单中的csrf_token与cookie中的csrf_token是否匹配,如果不匹配,则认为可能存在CSRF攻击,并拒绝该请求。通过这种验证方式,可以有效地防止CSRF攻击。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Flask模拟实现CSRF攻击的方法](https://download.youkuaiyun.com/download/weixin_38557727/13768777)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [2021-03-31](https://blog.youkuaiyun.com/m0_55876880/article/details/115344657)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [html表单csrf攻击的解决方案](https://blog.youkuaiyun.com/sunchanglan151/article/details/125516455)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值