egg表单提交csrf验证

本文详细介绍了在Egg.js框架中如何实现CSRF防护,包括在中间件中设置全局CSRF变量,前端表单中如何正确使用CSRF,以及在特定API中忽略CSRF验证的方法。

1、egg在进行表单提交时,会验证csrf,以防止网站被攻击。

2、在中间件中设置全局csrf变量,并将csrf存在state中,给前端使用

module.exports = options => {
  return async function adminauth(ctx, next) {
    // 定义全局csrf安全认证变量
    ctx.state.csrf = ctx.csrf;
  }
}

3、前端表单代码,添加隐藏的input,将csrf提交

<form method="post" action="/admin/addRole">
  <input type="hidden" name="_csrf" value="<%= csrf %>" />

  <button type="submit" class="btn btn-default">提交</button>
</form>

4、提交表单,在后台接口打印请求参数,即可看到csrf

5、在含有图片上传的表单中,csrf不可以放在隐藏表单域,需要放到action后

6、csrf配置/取消指定api验证(在支付宝与微信支付后,第三方会异步给服务端POST数据,没有csrf字段)

exports.security = {
  csrf: {
    // 判断是否需要 ignore 的方法,请求上下文 context 作为第一个参数
    ignore: ctx => {
      if (ctx.request.url == '/alipay/alipayNotify' || ctx.request.url == '/weixinpay/weixinpayNotify') {
        return true;
      }
      return false;
    }
  }
};

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值